Home » Spyware & Browser Hijacker Support Forum » Zur Auswertung: meine datfind.bat-Dateien » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Zur Auswertung: meine datfind.bat-Dateien

04.12.2005, 18:37

abhf

...neu hier

Beiträge: 5

#1 hallo Forum,

ich versuche grade meine spyaxe loszuwerden. Bis zum Ermitteln der Datfind.bat-dateien bin ich gekommen. Jetzt frag ich mich, was davon zu eliminieren ist.

Verzeichnis von C:\WINDOWS\system32

04.12.2005 17:45 5.456 ncompat.tlb
04.12.2005 17:05 5.632 msvol.tlb
04.12.2005 17:05 9.736 mssearchnet.exe
04.12.2005 17:05 20.992 hpAC46.tmp
04.12.2005 17:05 13.980 nvctrl.exe
04.12.2005 16:22 35.988 vsconfig.xml
04.12.2005 16:21 22.799 FFASTLOG.TXT
04.12.2005 16:21 24.064 ld973A.tmp
02.12.2005 21:37 4.286 ts.ico
02.12.2005 21:37 4.286 ot.ico
02.12.2005 21:30 14.576 mscornet.exe
02.12.2005 15:00 13.646 wpa.dbl
27.11.2005 14:57 4.162 ModemLog_AVM ISDN Custom Config.txt
27.11.2005 14:57 4.610 ModemLog_AVM ISDN BTX.txt
27.11.2005 14:57 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
27.11.2005 14:57 4.620 ModemLog_AVM ISDN FAX (G3).txt
27.11.2005 14:57 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt
27.11.2005 14:57 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt
27.11.2005 14:57 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
27.11.2005 14:57 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
27.11.2005 14:57 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
24.11.2005 20:54 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
11.11.2005 16:10 143.624 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 06:36 311.604 perfh009.dat
30.10.2005 06:36 39.992 perfc009.dat
30.10.2005 06:36 316.594 perfh007.dat
30.10.2005 06:36 48.156 perfc007.dat
30.10.2005 06:36 723.744 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

Verzeichnis von C:\WINDOWS

04.12.2005 16:53 1.170 win.ini
04.12.2005 16:27 2.039.234 WindowsUpdate.log
04.12.2005 16:21 0 0.log
04.12.2005 16:21 159 wiadebug.log
04.12.2005 16:21 50 wiaservc.log
04.12.2005 16:21 2.048 bootstat.dat
04.12.2005 14:39 32.634 SchedLgU.Txt
03.12.2005 19:45 19.456 offitems.log
03.12.2005 12:12 91.981 iis6.log
03.12.2005 12:12 126.006 ntdtcsetup.log
03.12.2005 12:12 208.417 comsetup.log
03.12.2005 12:12 27.948 ocmsn.log
03.12.2005 12:12 1.917 imsins.log
03.12.2005 12:12 234.920 tsoc.log
03.12.2005 12:12 311.083 ocgen.log
03.12.2005 12:12 30.399 msgsocm.log
03.12.2005 12:12 592.605 FaxSetup.log
03.12.2005 12:12 322.655 setupapi.log
03.12.2005 11:54 6 msoffice.ini
25.11.2005 22:41 2.539.520 outlook.pst
23.11.2005 18:31 165 SNOW.INI
14.11.2005 23:40 18.311 wmsetup.log
10.11.2005 22:03 11.794 KB896424.log
10.11.2005 22:03 21.676 updspapi.log
02.11.2005 19:02 181.873 setupact.log
31.10.2005 22:30 1.409 QTFont.for
31.10.2005 22:30 54.156 QTFont.qfn
15.10.2005 22:33 21.087 KB901017.log
15.10.2005 22:33 23.549 KB902400.log
15.10.2005 22:32 14.165 KB896688.log
15.10.2005 22:32 13.627 KB905414.log
15.10.2005 22:31 13.462 KB900725.log
15.10.2005 22:31 11.252 KB904706.log
15.10.2005 22:31 11.934 KB905749.log
10.10.2005 21:17 99.970 UninstallFirefox.exe
10.10.2005 21:17 2.608 mozver.dat

04.12.2005 17:27 16.384 ~DFAF31.tmp
04.12.2005 17:00 16.384 ~DFE986.tmp
04.12.2005 16:56 512 ~DF3C.tmp
04.12.2005 16:56 71.680 ~WRS0001.tmp
04.12.2005 16:56 512 ~DFA964.tmp
04.12.2005 16:54 4 PMShared
04.12.2005 16:21 0 sqlite_bUCE2j0jWulRj7X
04.12.2005 16:21 0 sqlite_gahiX1vUav1z0Dh
04.12.2005 16:21 256 ZLT06080.TMP
04.12.2005 16:21 408 jusched.log
04.12.2005 14:28 31.520 SALanguage.ini
30.11.2005 19:58 108 0FD1A8EB.TMP

Verzeichnis von C:\

04.12.2005 18:00 0 sys.txt
04.12.2005 18:00 12.070 system.txt
04.12.2005 18:00 905 systemtemp.txt
04.12.2005 17:45 103.526 system32.txt
04.12.2005 16:20 754.163.712 pagefile.sys
12.07.2005 22:36 638.976 ffastunT.ffl
12.07.2005 05:17 5.719 ffastun.ffa
12.07.2005 05:17 233.472 ffastun.ffo
12.07.2005 05:17 638.976 ffastun.ffl
12.07.2005 05:17 2.408.448 ffastun0.ffx

Was um Himmelswillen mus davon weg?

Danke bereits jetzt...............

Andreas Böker (abhf)

05.12.2005, 13:10

Sabina

Ehrenmitglied

Beiträge: 29434

#2 abhf

mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen

http://virus-protect.org/reg/mcor.reg

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\msvol.tlb
C:\WINDOWS\system32\mssearchnet.exe
C:\WINDOWS\system32\hpAC46.tmp
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\ld973A.tmp
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\mscornet.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg doppelt --> fuege sie mit " ja" der Registry bei

öffne das HijackThis --> laden:
http://virus-protect.org/hjtkurz.html

-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: HomepageBHO - {7caf96a2-c556-460a-988e-76fc7895d284} - C:\WINDOWS\system32\hpA3BD.tmp (kann auch eine andere Zahlenfolge haben, diese temp musst du dann auch loeschen... mit der Killbox oder manuell)

O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld9940.tmp" /m -->>(kann auch eine andere Zahlenfolge haben)

PC neustarten

loeschen:
C:\Programme\SpyAxe
C:\WINDOWS\system32\1024
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url
C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url

scanne mit Panda--> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

05.12.2005, 17:43

abhf

...neu hier

Themenstarter

Beiträge: 5

#3 Hallo Sabina,

danke erstmal für deine Bearbeitung. ich habe mal alles gesagt, wie geschrieben, allerdings in ich spyaxe noch nicht los.

Ich habe deinen Anweisungen Folge geleistet, aber die O4-Einträge aus hijack gab es bei mir nicht.

Ich geb dir jetzt mal die aktuellen Logs:

Datfind.bat:

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A4D9-67F9

Verzeichnis von C:\WINDOWS\system32

05.12.2005 17:17 35.988 vsconfig.xml
05.12.2005 17:17 22.895 FFASTLOG.TXT
05.12.2005 16:36 98.304 svchosts.dll
05.12.2005 16:29 24.064 ldC56E.tmp
02.12.2005 15:00 13.646 wpa.dbl
27.11.2005 14:57 4.162 ModemLog_AVM ISDN Custom Config.txt
27.11.2005 14:57 4.610 ModemLog_AVM ISDN BTX.txt
27.11.2005 14:57 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
27.11.2005 14:57 4.620 ModemLog_AVM ISDN FAX (G3).txt
27.11.2005 14:57 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt
27.11.2005 14:57 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt
27.11.2005 14:57 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
27.11.2005 14:57 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
27.11.2005 14:57 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
24.11.2005 20:54 4.212 zllictbl.dat
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
11.11.2005 16:10 143.624 FNTCACHE.DAT
02.11.2005 06:34 2.377.568 MRT.exe
30.10.2005 06:36 311.604 perfh009.dat
30.10.2005 06:36 39.992 perfc009.dat
30.10.2005 06:36 316.594 perfh007.dat
30.10.2005 06:36 48.156 perfc007.dat
30.10.2005 06:36 723.744 PerfStringBackup.INI
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
04.10.2005 16:26 3.013.120 mshtml.dll

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A4D9-67F9

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

05.12.2005 17:22 512 ~DF4ABD.tmp
05.12.2005 17:17 0 sqlite_RHkwUDy3aSoT098
05.12.2005 17:17 0 sqlite_OfLt059yOoSWi42
05.12.2005 17:16 0 sa1.tmp
05.12.2005 17:16 1.018 jusched.log
05.12.2005 16:35 16.384 ~DF85FB.tmp
05.12.2005 16:30 4 PMShared
04.12.2005 21:30 416 java_install_reg.log
04.12.2005 20:20 657.408 ~WRD0002.tmp
04.12.2005 14:28 31.520 SALanguage.ini
30.11.2005 19:58 108 0FD1A8EB.TMP
01.01.1970 01:00 2.759 qebseruerxrbo.ABI

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A4D9-67F9

Verzeichnis von C:\WINDOWS

05.12.2005 17:22 2.085.149 WindowsUpdate.log
05.12.2005 17:17 0 0.log
05.12.2005 17:17 159 wiadebug.log
05.12.2005 17:16 50 wiaservc.log
05.12.2005 17:16 2.048 bootstat.dat
05.12.2005 16:57 245.836 ntbtlog.txt
05.12.2005 16:52 32.634 SchedLgU.Txt
05.12.2005 16:30 1.170 win.ini
03.12.2005 19:45 19.456 offitems.log
03.12.2005 12:12 91.981 iis6.log
03.12.2005 12:12 126.006 ntdtcsetup.log
03.12.2005 12:12 208.417 comsetup.log
03.12.2005 12:12 1.917 imsins.log
03.12.2005 12:12 27.948 ocmsn.log
03.12.2005 12:12 234.920 tsoc.log
03.12.2005 12:12 311.083 ocgen.log
03.12.2005 12:12 30.399 msgsocm.log
03.12.2005 12:12 592.605 FaxSetup.log
03.12.2005 12:12 322.655 setupapi.log
03.12.2005 11:54 6 msoffice.ini
25.11.2005 22:41 2.539.520 outlook.pst
23.11.2005 18:31 165 SNOW.INI
14.11.2005 23:40 18.311 wmsetup.log
10.11.2005 22:03 11.794 KB896424.log
10.11.2005 22:03 21.676 updspapi.log
02.11.2005 19:02 181.873 setupact.log
31.10.2005 22:30 1.409 QTFont.for
31.10.2005 22:30 54.156 QTFont.qfn
15.10.2005 22:33 21.087 KB901017.log
15.10.2005 22:33 23.549 KB902400.log
15.10.2005 22:32 14.165 KB896688.log
15.10.2005 22:32 13.627 KB905414.log
15.10.2005 22:31 13.462 KB900725.log
15.10.2005 22:31 11.252 KB904706.log
15.10.2005 22:31 11.934 KB905749.log
10.10.2005 21:17 99.970 UninstallFirefox.exe
10.10.2005 21:17 2.608 mozver.dat

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: A4D9-67F9

Verzeichnis von C:\

05.12.2005 17:27 0 sys.txt
05.12.2005 17:27 12.070 system.txt
05.12.2005 17:27 862 systemtemp.txt
05.12.2005 17:26 103.193 system32.txt
05.12.2005 17:15 754.163.712 pagefile.sys
12.07.2005 22:36 638.976 ffastunT.ffl
12.07.2005 05:17 5.719 ffastun.ffa
12.07.2005 05:17 233.472 ffastun.ffo
12.07.2005 05:17 638.976 ffastun.ffl
12.07.2005 05:17 2.408.448 ffastun0.ffx
08.05.2005 10:42 19 Answer.txt
10.04.2005 06:23 157 INSTALL.LOG
23.01.2005 09:26 1.384 mail.txt
13.11.2004 13:53 205.593 ClipArt3.cil
13.11.2004 13:51 3.571.802 ClipArt2.cil
12.11.2004 17:16 1.668.399 ClipArt.cil
07.11.2004 12:45 48.640 Zoo spiel.doc
26.09.2004 00:53 211 boot.ini
26.09.2004 00:35 47.564 NTDETECT.COM
26.09.2004 00:35 251.184 ntldr

Und jetzt hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:29:42, on 05.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tksock.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tkserver\tkmedia.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\hijackthis\HijackThis.exe

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Winquswin] C:\WINDOWS\System32\ajxtszv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: CommCenter.lnk = ?
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: TK-Suite Client.lnk = ?
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6D3BE70-64A1-4D9A-A89C-9324E51982E1}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielleicht kannst du noch einmal schauen?

Danke schon mal jetzt.

Andreas Böker 8abhf)

06.12.2005, 15:16

Sabina

Ehrenmitglied

Beiträge: 29434

#4 abhf

http://www.malwareupload.com/
Log Dich mit Deiner E-Mail Adresse bei Malwareupload ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt.
(schreibe es mir dann

)

C:\WINDOWS\System32\ajxtszv.exe
------------------------------------------------------------------------------

fixe mit hijackThis:
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll
O4 - HKCU\..\Run: [Winquswin] C:\WINDOWS\System32\ajxtszv.exe

PC neustarten

-----------------------------------------------------------------------------
loesche:
C:\Programme\SpyAxe
C:\WINDOWS\System32\ajxtszv.exe
C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\FFASTLOG.TXT
C:\WINDOWS\system32\svchosts.dll
C:\WINDOWS\system32\ldC56E.tmp
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sa1.tmp
C:\WINDOWS\system32\1024
C:\Programme\Security Toolbar\Security Toolbar.dll
C:\Programme\Security Toolbar

wende Cleanup an
http://virus-protect.org/cleanup.html

scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

06.12.2005, 20:22

abhf

...neu hier

Themenstarter

Beiträge: 5

#5 Hallo Sabina,

spyware könnte weg sein, aber kaopersky meckert noch:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, December 06, 2005 20:18:15
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/12/2005
Kaspersky Anti-Virus database records: 153769
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
Z:\

Scan Statistics:
Total number of scanned objects: 60037
Number of viruses found: 7
Number of infected objects: 19
Number of suspicious objects: 0
Duration of the scan process: 3474 sec

Infected Object Name - Virus Name
C:\!KillBox\mssearchnet.exe Infected: Trojan-Downloader.Win32.Zlob.ca
C:\!KillBox\msvol.tlb Infected: Trojan.Win32.Puper.bq
C:\!KillBox\nvctrl.exe Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP822\A0070690.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP822\A0070718.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP822\A0071337.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP822\A0071759.exe Infected: Trojan-Downloader.Win32.Zlob.bw
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP822\A0071871.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0071930.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072070.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072117.tlb Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072137.exe Infected: Trojan.Win32.Puper.bp
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072138.exe Infected: Trojan-Downloader.Win32.Zlob.by
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072150.exe Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP823\A0072151.exe Infected: Trojan-Downloader.Win32.Zlob.ca
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP824\A0072205.tlb Infected: Trojan-Downloader.Win32.Zlob.cb
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP824\A0072216.tlb Infected: Trojan.Win32.Puper.bq
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP824\A0072217.exe Infected: Trojan.Win32.Puper.bq
C:\System Volume Information\_restore{21EB6044-3B34-4488-9317-4631C18DD6AE}\RP824\A0072220.exe Infected: Trojan-Downloader.Win32.Zlob.bz

Scan process completed.

Was soll ich jetzt machen?

Nochmal danke bis hierher.

Andreas

07.12.2005, 00:18

Sabina

Ehrenmitglied

Beiträge: 29434

#6 abhf

loeschen:
C:\!KillBox\mssearchnet.exe <----
C:\!KillBox\msvol.tlb <----
C:\!KillBox\nvctrl.exe <----
C:\WINDOWS\System32\ajxtszv.exe <----

warum hast du mir nicht den scanbericht geschickt von : ajxtszv.exe ????

deaktiviere die Systemwiederherstellung....dann aktiviere sie wieder
http://virus-protect.org/systemwiederherstellung.html

dann scanne noch mal mit kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit

07.12.2005, 07:18

abhf

...neu hier

Themenstarter

Beiträge: 5

#7 Hallo Sabina,

Zitat

warum hast du mir nicht den scanbericht geschickt von : ajxtszv.exe ????

Du meinst die Stellungnahme von MAWAREUPLOAD? Die hab ich noch nicht bekommen....

Den Rest kann ich heute Abend erst machen, bin jetzt nicht an meinem Rechner. Ich melde mich dann.

Andreas

07.12.2005, 11:30

Sabina

Ehrenmitglied

Beiträge: 29434

Zitat

abhf postete
Hallo Sabina,

Zitat
warum hast du mir nicht den scanbericht geschickt von : ajxtszv.exe ????
Du meinst die Stellungnahme von MAWAREUPLOAD? Die hab ich noch nicht bekommen....
Den Rest kann ich heute Abend erst machen, bin jetzt nicht an meinem Rechner. Ich melde mich dann.
Andreas

geht in Ordnung.....ich hoffe, dass sie rausfinden, was es ist

__________
MfG Sabina

rund um die PC-Sicherheit

07.12.2005, 21:14

abhf

...neu hier

Themenstarter

Beiträge: 5

#9 Hallo Sabina,

ich glaub, ich bin ihn los. Kapersky hat nix mehr zu meckern. Noch irgendwas zu tun oder wars das jetzt.

Wenn ja, bleibt mir nur noch die Frage, wie dieses Ding auf meinen Rechner kam. Ich habe ANTIVIR im Einsatz und das ist ja nach allem, was ich gehört habe, nicht das schlechteste. ZoneAlarm ist auch aktiv, also muss ich doch was unüberlegtes getan haben. Nur was und wie kann man eine Wiederholung vermeiden? Wenn du noch einen Tipp hast, nehm ich gerne an.

Ansonsten eine Superunterstützung von dir. Danke nochmal.

Wenn ich die Analyse noch bekomme, werde ich diese noch posten.

So, jetzt such ich noch ein kleines Problem, ob das was mit den Viren zu tun hatte, weiß ich nicht mal. Beim Starten meines Rechners dauert es jetzt mehrere Minuten, bis das Bios durch ist und XP startet. Aber das ist vermutlich nix für dieses Forum.

Und eine GHOST-Sicherung mach ich am Wocheende auch mal wieder.

Andreas

07.12.2005, 21:58

Sabina

Ehrenmitglied

Beiträge: 29434

#10 Hallo@abhf

hier ist der Zaubertip:
http://virus-protect.org/administrator.html

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html

wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

SpyAxe

Press 'OK'

warten, bis die Suche beendet ist.

losche dann noch alles in der Registry, was gefunden wird
----------------------------------------------------------------------

mit dem langsamen Hochfahren, musst du dich an jemand anders wenden.
Alles Gute fuer dich+ PC

__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1