WORM/Alcra.B Alarm |
||
---|---|---|
#0
| ||
16.01.2006, 14:18
...neu hier
Beiträge: 9 |
#31
Ok, das habe ich getan. Ist jetzt alles in Ordung gebracht?
|
|
|
||
16.01.2006, 14:31
Ehrenmitglied
Beiträge: 29434 |
#32
dirki
kopiere noch mal das komplette log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2006, 15:00
...neu hier
Beiträge: 9 |
#33
So hier der highjackthis log:
Logfile of HijackThis v1.99.1 Scan saved at 15:00:02, on 16.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\system32\AvidSDMService.exe C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Opera\Opera.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Internet\Phone\Skype\Skype.exe C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Derk\LOKALE~1\Temp\Rar$EX00.547\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Suitcase Startup.lnk = ? O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120816658812 O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBCFA07-6C9B-4EA7-8090-89C1F8D8C98E}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBCFA07-6C9B-4EA7-8090-89C1F8D8C98E}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{0CBCFA07-6C9B-4EA7-8090-89C1F8D8C98E}: NameServer = 192.168.1.1 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Dieser Beitrag wurde am 17.01.2006 um 12:20 Uhr von dirki editiert.
|
|
|
||
16.01.2006, 23:24
Ehrenmitglied
Beiträge: 29434 |
#34
dirki
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBCFA07-6C9B-4EA7-8090-89C1F8D8C98E}: NameServer = 192.168.1.1 Zitat OrgName: Internet Assigned Numbers Authoritykopiere hier die 4 Textdateien, der PC ist verseucht und deine Internetverbindung ebenfalls nicht korrekt http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2006, 09:33
...neu hier
Beiträge: 9 |
#35
Hier die Text Dateien:
Verzeichnis von C:\WINDOWS\system32 16.01.2006 17:42 10.646 KGyGaAvL.sys 16.01.2006 14:59 35.876 vsconfig.xml 16.01.2006 14:58 16.157 tablet.dat 16.01.2006 14:58 174 AvidStartupLog.txt 16.01.2006 14:58 2.206 wpa.dbl 13.12.2005 17:17 0 avidstartup.log 13.12.2005 17:04 7.006 jupdate-1.5.0_06-b05.log 13.12.2005 16:58 2.957 jupdate-1.5.0_01-b08.log 12.12.2005 23:43 176.167 rmoc3260.dll 12.12.2005 23:43 5.632 pndx5032.dll 12.12.2005 23:43 6.656 pndx5016.dll 12.12.2005 23:43 278.528 pncrt.dll 28.11.2005 08:34 295.864 FNTCACHE.DAT 23.11.2005 17:39 4.212 zllictbl.dat 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 09.11.2005 22:30 16.832 amcompat.tlb 09.11.2005 22:30 23.392 nscompat.tlb 08.11.2005 08:58 9.470 rundll32.exe.Z-missing.txt 30.10.2005 09:59 398.180 perfh009.dat 30.10.2005 09:59 60.380 perfc009.dat 30.10.2005 09:59 71.196 perfc007.dat 30.10.2005 09:59 408.830 perfh007.dat 30.10.2005 09:59 950.158 PerfStringBackup.INI 17.10.2005 20:58 65.536 QuickTimeVR.qtx 17.10.2005 20:57 49.152 QuickTime.qts 11.10.2005 08:16 2.368 SVKP.sys Verzeichnis von C:\DOKUME~1\Derk\LOKALE~1\Temp 16.01.2006 20:37 337.286 jar_cache20989.tmp 16.01.2006 17:42 46.080 ~e5d141.tmp 16.01.2006 15:45 59.964 Adobelm_Cleanup.0001 16.01.2006 15:45 2 Twain001.Mtx 16.01.2006 15:45 1.093 TWAIN.LOG 16.01.2006 15:45 0 Twunk002.MTX 16.01.2006 15:45 156 Twunk001.MTX 16.01.2006 15:36 618 jusched.log 16.01.2006 14:59 16.384 ~DF11E.tmp Verzeichnis von C:\WINDOWS 16.01.2006 18:33 249.106 wmsetup.log 16.01.2006 15:45 254 wiadebug.log 16.01.2006 15:42 54.156 QTFont.qfn 16.01.2006 14:58 0 0.log 16.01.2006 14:58 1.188.060 WindowsUpdate.log 16.01.2006 14:58 50 wiaservc.log 16.01.2006 14:58 32.544 SchedLgU.Txt 16.01.2006 14:57 2.048 bootstat.dat 15.01.2006 14:48 2.677 Ausba4.ini 15.01.2006 14:48 11.478 Dusb4ar.ini 15.01.2006 10:13 1.190.009 setupapi.log 14.01.2006 20:57 147.254 ntbtlog.txt 14.01.2006 20:52 503 win.ini 14.01.2006 20:52 227 system.ini 11.01.2006 10:00 1.409 QTFont.for 09.01.2006 16:35 40 nero.INI 06.01.2006 15:10 5.752 DirectX.log 12.12.2005 23:48 25 cdplayer.ini 12.12.2005 20:40 178.155 setupact.log 12.12.2005 19:56 0 tosOBEX.INI 12.11.2005 21:31 32 Wininit.ini 09.11.2005 22:32 1.129 wmsetup10.log 09.11.2005 22:29 316.640 WMSysPr9.prx 08.11.2005 08:56 0 Explorer.EXE.Z-missing.txt 19.09.2005 12:40 251 WINCMD.INI 18.08.2005 07:31 1.081 ScnPanel.ini Verzeichnis von C:\ 17.01.2006 09:32 0 sys.txt 17.01.2006 09:31 8.434 system.txt 17.01.2006 09:29 692 systemtemp.txt 17.01.2006 09:26 107.527 system32.txt 16.01.2006 14:57 1.610.612.736 pagefile.sys 14.01.2006 20:52 211 boot.ini 15.09.2005 18:54 696.320 StubInstaller.exe 17.03.2005 17:36 47.564 NTDETECT.COM 17.03.2005 17:36 251.184 ntldr 17.03.2005 16:16 0 MSDOS.SYS 17.03.2005 16:16 0 CONFIG.SYS 17.03.2005 16:16 0 AUTOEXEC.BAT 17.03.2005 16:16 0 IO.SYS 18.08.2001 13:00 4.952 bootfont.bin f-secure-Beta log: 01/17/06 09:35:49 [Info]: BlackLight Engine 1.0.30 initialized 01/17/06 09:35:49 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/17/06 09:35:49 [Note]: 7019 4 01/17/06 09:35:49 [Note]: 7005 0 01/17/06 09:36:13 [Note]: 7006 0 01/17/06 09:36:13 [Note]: 7011 1388 01/17/06 09:36:13 [Note]: FSRAW library version 1.7.1014 01/17/06 09:37:00 [Note]: 7007 0 ServiceFliter log: ===> Begin Service Listing <=== Unknown Service #1 Service Name: AcrSch2Svc Display Name: Acronis Scheduler2 Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe" State: Running Process ID: 228 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: Adobe LM Service Display Name: Adobe LM Service Start Mode: Manual Start Name: LocalSystem Description: AdobeLM ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 3 Service Name: Adobe Version Cue CS2 Display Name: Adobe Version Cue CS2 Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\adobe\adobe version cue cs2\bin\versioncuecs2.exe" -win32service State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: AntiVirService Display Name: AntiVir Service Start Mode: Auto Start Name: LocalSystem Description: Permanenter Virenschutz mit der H+BEDV AntiVir ... Service Type: Own Process Path: "c:\programme\avpersonal\avguard.exe" State: Running Process ID: 292 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 5 Service Name: AvidSDMService Display Name: Avid SDM Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: system32\avidsdmservice.exe State: Running Process ID: 384 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 6 Service Name: AvidStartup Display Name: Avid Startup Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: system32\avidstartup.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1067 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: AVWUpSrv Display Name: AntiVir Update Start Mode: Auto Start Name: LocalSystem Description: Hilfsdienst fuer AntiVir Personal ... Service Type: Own Process Path: "c:\programme\avpersonal\avwupsrv.exe" State: Running Process ID: 572 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 8 Service Name: ewido security suite control Display Name: ewido security suite control Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\ewido anti-malware\ewidoctrl.exe State: Running Process ID: 676 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 9 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 10 Service Name: MSSQL$PINNACLESYS Display Name: MSSQL$PINNACLESYS Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\microsoft sql server\mssql$pinnaclesys\binn\sqlservr.exe -spinnaclesys State: Running Process ID: 940 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 11 Service Name: MSSQLServerADHelper Display Name: MSSQLServerADHelper Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\microsoft sql server\80\tools\binn\sqladhlp.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #12 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 13 Service Name: SQLAgent$PINNACLESYS Display Name: SQLAgent$PINNACLESYS Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\microsoft sql server\mssql$pinnaclesys\binn\sqlagent.exe -i pinnaclesys State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #14 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{daa20314-386e-4354-967d-bad063ef93fd} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 15 Service Name: TabletService Display Name: TabletService Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\tablet.exe State: Running Process ID: 1448 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr ---> End Service Listing <--- Dieser Beitrag wurde am 17.01.2006 um 09:43 Uhr von dirki editiert.
|
|
|
||
17.01.2006, 12:11
Ehrenmitglied
Beiträge: 29434 |
#36
dirki
loesche: C:\StubInstaller.exe du hast deine Log-File rausgenommen, so kann ich dir nicht posten, welche 017-Eintraege du fixen musst. So kann ich nicht arbeiten. du solltest alle drei Eintraege mit HijackThis fixen: O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBCFA07-6C9B-4EA7-8090-89C1F8D8C98E}: NameServer = 192.168.1.1 neustarten dann musst du eine neue Internetverbindung einrichten, denn die jetzige wurde geloescht. /gehoert zu: City: Marina del Rey StateProv: CA (Kannada)...der PC ist kompromitiert) kopiere bitte noch mal das erste log vom Datfindbat... mit den Daten von Ende August bis Ende September __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2006, 12:35
...neu hier
Beiträge: 9 |
#37
Sorry, ich wußte nicht das die Log-file noch wichtig war. Habe sie wieder gepostet. Alle drei 017 habe ich mit Highjackthis entfernt. und auch Stubinstaller.exe habe ich gelöscht. Mit der Internetverbindung bin ich mir jedoch noch nicht sicher, denn ich musste nach dem Neustart keine Verbindung neu einrichten. Ich konnte einfach so ins Netz.
Hier die log von Datfindbat: 22.09.2004 10:09 65.536 TosCommAPI.dll 10.09.2004 07:00 44.544 snti386.dll 10.09.2004 07:00 23.648 rnbovdd.dll 10.09.2004 07:00 12.907 SENTINEL.HLP 13.08.2004 23:24 3.375.104 qt-mt331.dll 13.08.2004 23:24 53.248 dpv10.dll 13.08.2004 23:24 335.872 dpus10.dll 13.08.2004 23:24 602.112 dpuGUI10.dll 13.08.2004 23:24 8.523 dpude.qm 13.08.2004 23:24 290.816 dpu10.dll 13.08.2004 23:24 245.408 nsx18D.tmp 13.08.2004 23:24 1.335.296 PSIKey.dll 13.08.2004 23:24 290.304 divxdec.ax 13.08.2004 23:24 849.408 DivX.dll 13.08.2004 23:24 89.600 divxdec_0411.dll 13.08.2004 23:24 90.112 divxdec_040c.dll 13.08.2004 23:24 89.600 divxdec_0407.dll 13.08.2004 23:24 206.848 divx_xx11.dll 13.08.2004 23:24 206.336 divx_xx0c.dll 13.08.2004 23:24 206.848 divx_xx07.dll 04.08.2004 09:12 1.788 dcache.bin 04.08.2004 09:00 333.312 netsetup.exe |
|
|
||
17.01.2006, 14:09
Ehrenmitglied
Beiträge: 29434 |
#38
dirki
kopiere hier das neue Log vom HijackThis, ich will die 017 ueberpruefen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.01.2006, 23:26
...neu hier
Beiträge: 9 |
#39
Vielen Dank, das Du Dich so um mich kümmerst!
Logfile of HijackThis v1.99.1 Scan saved at 23:24:43, on 17.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\AvidSDMService.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Tablet.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Opera\Opera.exe I:\Programme (G)\Programme roh\HighJackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Suitcase Startup.lnk = ? O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120816658812 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
18.01.2006, 00:17
Ehrenmitglied
Beiträge: 29434 |
#40
dirki
scanne mit Panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 09:09
...neu hier
Beiträge: 9 |
#41
Ohh, da wurde ja noch ne menge gefunden!
Incident Status Location Spyware:spyware/new.net Not disinfected Windows Registry Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@atdmt[1].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@doubleclick[2].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@mediaplex[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@atdmt[1].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@doubleclick[2].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Derk\Cookies\derk@mediaplex[1].txt Adware:Adware/Beginto Not disinfected G:\Music\Lime\microsoft encarta 2005_compressed.zip[Self Extracting.exe] Adware:Adware/Beginto Not disinfected I:\ALTERaUSLAGERUNGS\Archiv\Music\Lime\microsoft encarta 2005_compressed.zip[Self Extracting.exe] Spyware:Cookie/Clickbank Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Cookies\derk@clickbank[1].txt Spyware:Cookie/DomainSponsor Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Cookies\derk@domainsponsor[2].txt Spyware:Cookie/FortuneCity Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Cookies\derk@fortunecity[2].txt Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Cookies\derk@www.findthewebsiteyouneed[2].txt Spyware:Cookie/Yadro Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Cookies\derk@yadro[1].txt Dialerialer.Gen Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Lokale Einstellungen\Temp\~alstmp.exe Ein Paar Sachen habe ich gelöscht, das hier blieb nach dem zweiten scan noch übrig: Incident Status Location Spyware:spyware/new.net Not disinfected Windows Registry Spyware:Cookie/Mediaplex Not disinfected C:\RECYCLER\S-1-5-21-1004336348-299502267-839522115-1003\Dc11.txt Spyware:Cookie/Doubleclick Not disinfected C:\RECYCLER\S-1-5-21-1004336348-299502267-839522115-1003\Dc9.txt Dialerialer.Gen Not disinfected I:\Programme (G)\Dokumente und Einstellungen\derk\Lokale Einstellungen\Temp\~alstmp.exe Außerdem ist mir aufgeffalen das bei mir der Befehl ipconfig nicht funktioniert um an die regestry zu kommen. Ich hoffe das ist nicht die Konsequenz der ganzen Schädlinge, die mich befallen haben. Dieser Beitrag wurde am 18.01.2006 um 13:24 Uhr von dirki editiert.
|
|
|
||
18.01.2006, 14:26
Ehrenmitglied
Beiträge: 29434 |
#42
dirki
in die Registry kommt man mit dem Befehl: regedit dann : suchen--> bearbeiten--> new.net --------------------------------------------------------- kannst du manuell loeschen, oder mit Cleanup I:\ scannen I:\Programme (G)\Dokumente und Einstellungen\derk\Lokale Einstellungen\Temp\~alstmp.exe http://virus-protect.org/cleanup.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.01.2006, 19:36
...neu hier
Beiträge: 1 |
#43
Kann mir wer helfen? habe auch den worm/alcra.b
Logfile of HijackThis v1.99.1 Scan saved at 19:16:37, on 25.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\BearShare\BearShare.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Winamp\winampa.exe C:\Programme\VVSN\VVSN.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\mysql\bin\mysqld-nt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\mIRC\mirc.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Dokumente und Einstellungen\Sandra Melzer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [Xerox WorkCentre 470cx Monitor] RUNDLL32.EXE C:\WINDOWS\system32\X470SHLL.DLL,AutoUpdatePnPValue O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ares] "C:\Programme\Ares\Ares.exe" -h O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .png: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab27513.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4458/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{91EBBB0E-86EE-474C-833F-7AE5AF6DEB5C}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe |
|
|
||
25.01.2006, 19:43
Ehrenmitglied
Beiträge: 29434 |
#44
Saa
es wird auch die internetverbindung geloscht...du musst dann eine neue erstellen öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{91EBBB0E-86EE-474C-833F-7AE5AF6DEB5C}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 PC neustarten deinstallieren/loeschen C:\WINDOWS\System32\P2P Networking C:\Programme\NavExcel C:\Programme\BearShare Anleitung zum Entfernen von W32/Alcra-A,W32/Alcra-B http://virus-protect.org/artikel/bfu/p2pbfuhtml.html Counterspy http://virus-protect.org/counterspy.html - Klicke: "Run a Spyware Scan Now" - nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu poste das neue Log vom HijackThis ----------------------------------------------------------------- HKLM\System\CCS\Services\Tcpip\..\{25290951-EF8B-4D64-AECA-67CCC906077E}: NameServer = 192.168.178.1,194.25.2.129 Zitat Suchbegriff: 192.168.178.1 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||