spyware detected |
||
---|---|---|
#0
| ||
07.12.2005, 01:00
...neu hier
Beiträge: 4 |
||
|
||
07.12.2005, 13:08
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@doc_lecter
wende CleanUp an http://virus-protect.org/cleanup.html datfindbat--> kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html ----------- Info: SpyAxe http://virus-protect.org/artikel/spyware/spyaxe.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 20:39
...neu hier
Themenstarter Beiträge: 4 |
#3
schon mal dank für die zeit, die du für mich aufbringst!
habe cleanup angewendet. hier die 4 datei von datfindbat: was mach ich mit diesen? :-) die liste von allen 4 datein istzu groß um es hier zu posten?!?! huch!? also die system32.txt ist riesig :-S gruß doc Dieser Beitrag wurde am 07.12.2005 um 20:49 Uhr von doc_lecter editiert.
|
|
|
||
07.12.2005, 21:22
Ehrenmitglied
Beiträge: 29434 |
#4
ich brauche nur die Daten der letzten drei/zwei Monate...die passen hier ein
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 21:27
...neu hier
Themenstarter Beiträge: 4 |
#5
ach ja sicher, *g* mach ich...
so: :-) system32.txt Verzeichnis von C:\WINDOWS\system32 07.12.2005 20:25 5.632 msvol.tlb 07.12.2005 20:25 5.384 ncompat.tlb 07.12.2005 20:25 20.480 hp1AE5.tmp 07.12.2005 20:25 24.064 ld176B.tmp 07.12.2005 10:14 4.286 ot.ico 07.12.2005 10:14 4.286 ts.ico 07.12.2005 10:14 9.708 mssearchnet.exe 07.12.2005 10:14 13.884 nvctrl.exe 05.12.2005 10:03 14.580 mscornet.exe 02.12.2005 08:28 117.360 FNTCACHE.DAT 12.11.2005 20:26 98.304 CmdLineExt.dll 12.11.2005 15:33 34.308 BASSMOD.dll 12.11.2005 15:31 2.206 wpa.dbl 10.11.2005 16:32 15.989 ConvertITP-Deutsch.GID 02.11.2005 22:54 380.684 perfh009.dat 02.11.2005 22:54 391.574 perfh007.dat 02.11.2005 22:54 53.098 perfc009.dat 02.11.2005 22:54 63.976 perfc007.dat 02.11.2005 22:54 897.954 PerfStringBackup.INI 02.11.2005 22:38 348 results.txt 02.11.2005 06:34 2.377.568 MRT.exe 30.10.2005 17:50 5.531 jupdate-1.5.0_05-b05.log 27.10.2005 22:53 2.335 qtplugin.log 27.10.2005 22:32 4.704 KGyGaAvL.sys 27.10.2005 22:32 8 9DF8CC4DAF.sys 27.10.2005 21:20 0 h323log.txt 27.10.2005 21:07 146.650 BuzzingBee.wav 27.10.2005 21:07 940.794 LoopyMusic.wav 27.10.2005 20:29 302 $winnt$.inf 27.10.2005 20:26 2.951 CONFIG.NT danke schon mal sabina :-) |
|
|
||
07.12.2005, 22:03
Ehrenmitglied
Beiträge: 29434 |
#6
doc_lecter
mit der rechten Maustaste auf den Link klicken und aus dem Auswahlmenü, Ziel speichern unter -> Desktop wählen http://virus-protect.org/reg/mcor.reg rechtsklick auf den Link --> Ziel speichern unter... --> wähle Desktop - dann erscheint eine spyaxe.reg auf dem Bildschirm. http://virus-protect.org/reg/spyaxe.reg ----------------------------------------------------------------------------------- KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\hpAE9F.tmp C:\WINDOWS\system32\hp1AE5.tmp C:\WINDOWS\system32\ld176B.tmp C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\mscornet.exe starten den PC neu --> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt , waehle abgesicherter Modus, melde dich als Administrator an und klicke die mcor.reg spyaxe.reg doppelt --> fuege sie mit " ja" der Registry bei öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpAE9F.tmp PC neustarten ------------------------------------------------------------------------------ Direktdownload SpyAxeFix.exe http://noahdfear.geekstogo.com/click%20counter/click.php?id=8 -->> schliesse alle anderen Programme -->> doppeltklicken SpyAxeFix.exe -->> SpyAxeFix map -->> SpyAxeFix.bat -->> wenn deas Tool abgearbeitet ist, wird der PC neustarten ------------------------------------------------------------------ deinstalliere Spyaxe...falls es noch da ist loesche: C:\Programme\SpyAxe C:\Windows\system32\1024 C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Center.url C:\Dokumente und Einstellungen\Username\Favoriten\Free XXX Sites List.url wende CleanUp an http://virus-protect.org/cleanup.html deaktiviere die Systemwiederherstellung (dann aktiviere sie wieder) http://virus-protect.org/systemwiederherstellung.html scanne mit Kaspersky --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html scanne mit Panda --> loesche dann manuell, was gefunden wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.12.2005, 22:48
...neu hier
Themenstarter Beiträge: 4 |
#7
oki, muss jetzt noch mit kaspersky und panda scannen :-)
sieht schon ganz vielversprechend aus *erleichtertausmatme* puh ^^ danke dir sabina, ist echt super lieb! |
|
|
||
29.12.2005, 17:36
...neu hier
Beiträge: 5 |
#8
Hallo Sabina,
ich hab auch so einen "spyware-detected" windows-hintergrund. Nach der Infektion gestern hat antivir und adaware ziemlich viel gelöscht, aber dieser schwarze bildschirm-hintergrund mit der dicken spyware-schlagzeile bleibt. Außerdem funktioniert strg-alt-del nicht mehr bzw es kommt die meldung, der task-manager sei vom system-administrator abgeschaltet oder so. Muss ich genauso voprgehen wie mein vorgänger doc-lecter? mein datfindbat hat folgendes ergeben: Datentr"ger in Laufwerk C: ist MAX80C Volumeseriennummer: F803-1669 Verzeichnis von C:\WINDOWS\system32 29.12.2005 16:39 942.360 PerfStringBackup.INI 29.12.2005 16:39 71.448 perfc007.dat 29.12.2005 16:39 59.156 perfc009.dat 29.12.2005 16:39 406.534 perfh007.dat 29.12.2005 16:39 393.524 perfh009.dat 29.12.2005 10:10 15.360 mpcsvc.exe 28.12.2005 19:11 0 z13.exe 28.12.2005 19:11 0 z11.exe 28.12.2005 19:11 0 z16.exe 28.12.2005 19:11 0 z14.exe 28.12.2005 17:53 0 attrib.ini 28.12.2005 17:52 16.384 floop32.dll 28.12.2005 17:52 37.376 msupdate32.dll 28.12.2005 17:52 8.573 sachostw.exe 28.12.2005 17:52 0 hard.lck 28.12.2005 17:51 5.632 msvcrl.dll 28.12.2005 17:51 8.238 z15.exe 28.12.2005 17:51 7.188 paytime.exe 28.12.2005 17:48 7.200 z12.exe 28.12.2005 17:48 8.005 cmd32.exe 21.12.2005 17:09 2.206 wpa.dbl 30.10.2005 18:48 131.688 FNTCACHE.DAT Datentr"ger in Laufwerk C: ist MAX80C Volumeseriennummer: F803-1669 Verzeichnis von C:\DOKUME~1\jak\LOKALE~1\Temp Datentr"ger in Laufwerk C: ist MAX80C Volumeseriennummer: F803-1669 Verzeichnis von C:\WINDOWS 29.12.2005 16:58 1.453 AVerDVBT.ini 29.12.2005 16:58 156 wiadebug.log 29.12.2005 16:41 529.439 WindowsUpdate.log 29.12.2005 16:35 0 0.log 29.12.2005 16:35 2.048 bootstat.dat 29.12.2005 11:53 116 NeroDigital.ini 29.12.2005 10:08 754 wincmd.ini 28.12.2005 21:11 32.566 SchedLgU.Txt 28.12.2005 21:11 50 wiaservc.log 28.12.2005 17:53 1.430 warnhp.html 28.12.2005 17:52 2.033 hosts 28.12.2005 17:52 31.376 tool5.exe 28.12.2005 17:52 68.608 tool4.exe 28.12.2005 17:51 58.368 tool1.exe 28.12.2005 17:51 28.611 sachostx.exe 28.12.2005 17:51 3.097 sysldr32.exe 28.12.2005 17:48 72.809 kl.exe 28.12.2005 17:48 0 uniq 25.12.2005 20:17 961 PVAStrumento.ini 23.12.2005 19:09 580.732 setupapi.log 16.12.2005 19:31 100 KERt_PRF.INI 05.12.2005 19:12 516 win.ini 01.11.2005 08:28 42.085 Run32A50.mch 01.11.2005 08:28 35 A5W.INI Datentr"ger in Laufwerk C: ist MAX80C Volumeseriennummer: F803-1669 Verzeichnis von C:\ 29.12.2005 17:13 0 sys.txt 29.12.2005 17:12 8.065 system.txt 29.12.2005 17:11 124 systemtemp.txt 29.12.2005 17:07 99.627 system32.txt 29.12.2005 16:35 1.073.270.784 hiberfil.sys 29.12.2005 16:35 805.306.368 pagefile.sys 28.12.2005 17:48 8.005 boot.inx 26.12.2005 20:12 0 demux_log.txt 01.03.2005 16:02 0 AUTOEXEC.BAT 01.03.2005 16:02 0 CONFIG.SYS 01.03.2005 16:02 0 IO.SYS 01.03.2005 16:02 0 MSDOS.SYS 01.03.2005 15:53 211 boot.ini 03.08.2004 21:59 251.184 ntldr 03.08.2004 21:38 47.564 NTDETECT.COM 18.08.2001 12:00 4.952 bootfont.bin 16 Datei(en) 1.878.996.884 Bytes 0 Verzeichnis(se), 1.561.698.304 Bytes frei Soll ich jetzt also mit mcor und spyaxe usw genauso vorgehen, wie oben beschrieben? Oder geht das bei mir einfacher, ohne soviel cleanup und neustart und auch noch protected-mode? Derzeit funktioniert der PC wieder einwandfrei - bis auf 1) den schwarzen desktop mit dem fetten Link: Spyware detected on your computer!Install an antivirus or spyware remover to clean your computer. → View the list of top spyware removers here ← (das verlinkt beim anklicken nach www.teslaplus.com. Und er lässt sich nicht so einfach über die system-einstellungen wegschaffen, denn da erscheint er gar nicht) und 2) den deaktivierten taskmanager; das ist schon ärgerlicher. noch was: ich benutze win xp sp2 vielen dank für die hilfe auf dieser Seite, martin Dieser Beitrag wurde am 29.12.2005 um 18:12 Uhr von martin0reg editiert.
|
|
|
||
29.12.2005, 18:38
Ehrenmitglied
Beiträge: 29434 |
#9
martin0reg
gehe in due registry Start--> Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Internet FriendlyName" = "Warning homepage"<--loeschen "Source" = "C:\WINDOWS\warnhp.html" <--loeschen HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\System DisableTaskMgr = "dword:00000001" --> aendere in 0 DisableRegistryTools = "dword:00000001" --> aendere in 0 KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot / Process all in List )--> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\mpcsvc.exe C:\WINDOWS\system32\z13.exe C:\WINDOWS\system32\z11.exe C:\WINDOWS\system32\z16.exe C:\WINDOWS\system32\z14.exe C:\WINDOWS\system32\attrib.ini C:\WINDOWS\system32\floop32.dll C:\WINDOWS\system32\msupdate32.dll C:\WINDOWS\system32\sachostw.exe C:\WINDOWS\system32\hard.lck C:\WINDOWS\system32\msvcrl.dll C:\WINDOWS\system32\z15.exe C:\WINDOWS\system32\paytime.exe C:\WINDOWS\system32\z12.exe C:\WINDOWS\system32\cmd32.exe C:\WINDOWS\warnhp.html C:\WINDOWS\hosts C:\WINDOWS\tool5.exe C:\WINDOWS\tool4.exe C:\WINDOWS\tool1.exe C:\WINDOWS\sachostx.exe C:\WINDOWS\sysldr32.exe C:\WINDOWS\kl.exe C:\WINDOWS\uniq C:\boot.inx PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.12.2005, 20:08
...neu hier
Beiträge: 5 |
#10
sabina, schonmal vielen dank für die hilfe!
Den schwarzen desktop-hintergrund mit der fetten warnung konnte man auch mit einem klitzekleinen abschalt-kreuz am obersten Bildschirmrand entfernen; war aber erst zu sehen, wenn man an mit dem mauszeiger an die bildschirm-oberkante tippte. Den taskmanager hab ich nach deiner anleitung in der registry wieder aktivieren können. Von den dateien, die ich mit killbox löschen sollte, war nur noch c:\boot.inx übrig. Die hab ich normal gelöscht und dann den papierkorb geleert. Ob das reicht? Nach dem nächsten neustart werd ichs merken. Restore original hosts hab ich gemacht. (Wofür war das?) Ergebnis von hijack: Logfile of HijackThis v1.99.1 Scan saved at 19:33:52, on 29.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVerTV DVB-T\QuickDVB-T.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\Programme\Internet Explorer\IEXPLORE.EXE G:\software\AblageSoftware11.04etc\WinPC-Basics\Viren+spyware\hijackthis\HijackThis.exe O3 - Toolbar: Pictures - {8E929F51-5914-11D6-971F-0050FC3F9161} - C:\Programme\Pictures Toolbar\Pictures.dll O4 - HKLM\..\Run: [QuickDVBT] C:\Programme\AVerTV DVB-T\QuickDVB-T.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://E:\components\wmvhdrating.ocx O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.5/Installer.exe O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe Mit dem online-virus-scan kam ich nicht weiter. Nur einzelne dateien? Mit active-x-fenster? Jedenfalls meldet mein antivir-scanner keine verdächtige datei mehr. bis dann, martin |
|
|
||
29.12.2005, 20:13
Ehrenmitglied
Beiträge: 29434 |
#11
martin0reg
öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll PC neustarten kopiere hier das log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.12.2005, 20:44
...neu hier
Beiträge: 5 |
#12
sabina,
jetzt hab ich erst vor die hijack-einträge: O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://E:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://E:\components\A9.ocx O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://E:\components\wmvhdrating.ocx O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.5/Installer.exe die häkchen gesetzt und gefixt. neu gestartet. einträge sind gelöscht. soll O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll ebenso gelöscht werden? (hab ich jetzt erst so verstanden, bin kein fachmann) PS: Außerdem wundere ich mich über die 27 running processes nach dem start.. |
|
|
||
29.12.2005, 20:52
Ehrenmitglied
Beiträge: 29434 |
#13
fixe mit hijackThis genau das, was ich geschrieben hatte
Zitat öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustartenkopiere hier das log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.12.2005, 21:14
...neu hier
Beiträge: 5 |
#14
okay, ich hab
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll ebenfalls gefixt/gelöscht. silentrunner-ergebnis: "Silent Runners.vbs", revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" ["Lavasoft Sweden"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "QuickDVBT" = "C:\Programme\AVerTV DVB-T\QuickDVB-T.exe" ["AVerMedia Technologies, Inc."] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "WIAWizardMenu" = "RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer8\rpshell.dll" ["RealNetworks, Inc."] "{29e3fb5b-cf62-45b5-b8bf-1ad500385fc7}" = "Shell Context Menu Handler for Application References" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{29e3fb5b-cf62-45b5-b8bf-1ad500385fc6}" = "Shell Context Menu Handler for Application Manifests" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] "{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] PS: ich bitte um nachsicht für dumme rückfragen und bedanke mich herzlich. Ist noch was faul am scan? martin |
|
|
||
29.12.2005, 21:52
Ehrenmitglied
Beiträge: 29434 |
#15
irgendwie ist das Log so kurz...kannst du alles hier kopieren???
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hab schon einiges versucht aber ich bin auch auf eure hilfe angewiesen.
hab dieses hijackthis gemacht :-)
Logfile of HijackThis v1.99.1
Scan saved at 00:59:39, on 07.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
C:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Fingerprint Sensor\ATSwpNav.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\WButton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\SSH Communications Security\SSH Sentinel\Accession\ssh_accession.exe
C:\Programme\SSH Communications Security\SSH Sentinel\sshtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Installer\hijackthis\HijackThis.exe
O2 - BHO: HomepageBHO - {724510c3-f3c8-4fb7-879a-d99f29008a2f} - C:\WINDOWS\system32\hpAE9F.tmp
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATSwpNav] "C:\Programme\Fingerprint Sensor\ATSwpNav" -run
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [Wbutton] C:\Programme\Launch Manager\WButton.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SSH Accession.lnk = ?
O4 - Global Startup: SSH Sentinel Agent.lnk = ?
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: SSH Sentinel (SSHIPM) - Unknown owner - C:\Programme\SSH Communications Security\SSH Sentinel\sshipm.exe" -d (file missing)
O23 - Service: SSH Sentinel Monitor (SSHMONITOR) - Unknown owner - C:\Programme\SSH Communications Security\SSH Sentinel\sshmonitor.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Danke schon mal im voraus *hoff*