#1
Ich scheine mir gerade meinen Computer mit einem Virus zugemüllt zu haben. Hätte ich ihn mal bloß doch schon 10 Minuten früher ausgestellt...
Da mein Wissen in diesem Bereich sich doch eher in Grenzen hält, wäre es sehr nett, wenn mir jemand helfen könnte. Anhand des Datums kann ich mir zwar halbwegs denken welche unten genannten Dateien es betrifft, aber ich gehe lieber auf Nummer sicher.
Bislang habe ich nur mit Cleanup ein bisschen aufgeräumt.
Datentr„ger in Laufwerk C: ist LW-C Volumeseriennummer: 6803-447F
Logfile of HijackThis v1.99.1 Scan saved at 23:54:46, on 02.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Da mein Wissen in diesem Bereich sich doch eher in Grenzen hält, wäre es sehr nett, wenn mir jemand helfen könnte. Anhand des Datums kann ich mir zwar halbwegs denken welche unten genannten Dateien es betrifft, aber ich gehe lieber auf Nummer sicher.
Bislang habe ich nur mit Cleanup ein bisschen aufgeräumt.
Datentr„ger in Laufwerk C: ist LW-C
Volumeseriennummer: 6803-447F
Verzeichnis von C:\WINDOWS\system32
02.01.2006 23:37 0 asfiles.txt
02.01.2006 23:34 2.550 Uninstall.ico
02.01.2006 23:34 1.406 Help.ico
02.01.2006 23:34 1.718 Open.ico
02.01.2006 23:34 1.406 AddQuit.ico
02.01.2006 23:34 5.350 IE.ico
02.01.2006 23:34 9.470 Desktop.ico
02.01.2006 23:34 1.718 Quick.ico
02.01.2006 22:27 133.791 ieux32.dll
02.01.2006 22:27 6.656 intell32.exe
30.12.2005 23:22 43.520 CmdLineExt03.dll
19.12.2005 15:46 2.333 qtplugin.log
18.12.2005 16:25 35.447 apics.exe
28.11.2005 13:43 664 d3d9caps.dat
24.11.2005 06:53 22 ati64hlp.stb
23.11.2005 17:31 22 ati64hl2.stb
14.11.2005 09:01 1.136 wpa.dbl
08.11.2005 21:17 98.304 CmdLineExt.dll
30.10.2005 06:59 49.028 perfc007.dat
30.10.2005 06:59 312.946 perfh009.dat
30.10.2005 06:59 318.106 perfh007.dat
30.10.2005 06:59 40.664 perfc009.dat
30.10.2005 06:59 728.266 PerfStringBackup.INI
19.09.2005 14:17 243.128 FNTCACHE.DAT
Verzeichnis von C:\DOKUME~1\Standard\LOKALE~1\Temp
02.01.2006 23:43 16.384 Perflib_Perfdata_140.dat
Verzeichnis von C:\WINDOWS
02.01.2006 23:37 914 win.ini
02.01.2006 23:35 1.889.466 setupapi.log
02.01.2006 23:29 227 system.ini
02.01.2006 23:13 0 0.log
02.01.2006 23:12 1.442.881 WindowsUpdate.log
02.01.2006 23:12 2.048 bootstat.dat
02.01.2006 23:10 32.584 SchedLgU.Txt
02.01.2006 22:27 1.430 warnhp.html
28.12.2005 18:29 13.581 ovmdk.log
28.12.2005 02:44 3.567 crtuf.dat
28.12.2005 01:04 197.761 ypxwg.txt
27.12.2005 23:29 268.970 wmsetup.log
26.12.2005 11:51 386.453 DirectX.log
23.12.2005 20:16 26.680 F„cher.bmp
19.12.2005 15:54 54.156 QTFont.qfn
19.12.2005 15:54 1.409 QTFont.for
18.12.2005 16:47 11.895 syskv.exe
18.12.2005 12:29 3.374.149 {00000000-00000000-00000007-00001102-00000002-80611102}.CDF
26.10.2005 21:33 50 wiaservc.log
26.10.2005 21:33 216 wiadebug.log
19.09.2005 15:27 198.538 ntbtlog.txt
12.09.2005 18:10 160 civ.ini
Verzeichnis von C:\
02.01.2006 23:49 0 sys.txt
02.01.2006 23:48 9.150 system.txt
02.01.2006 23:48 299 systemtemp.txt
02.01.2006 23:47 97.142 system32.txt
02.01.2006 23:11 1.073.270.784 hiberfil.sys
02.01.2006 23:11 805.306.368 pagefile.sys
27.12.2005 17:47 194 boot.ini
Regsearch:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinHound"="C:\\Programme\\WinHound\\WinHound.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"RegistrationUrl"="http://www.winhound.com/register/142.0.2"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
@="C:\\Programme\\WinHound"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"InstallDir"="C:\\Programme\\WinHound"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"DatabaseFile"="C:\\Programme\\WinHound\\sig.dat"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"ResourceDll"="C:\\Programme\\WinHound\\rc.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound]
"QuarantineLocation"="C:\\Programme\\WinHound\\Trash"
[HKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com\WinHound\WinHound]
[HKEY_USERS\S-1-5-21-1733290971-2165517387-3308722516-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\WinHound\\WinHound.exe"="WinHound"
[HKEY_USERS\S-1-5-21-1733290971-2165517387-3308722516-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\Standard\\LOKALE~1\\Temp\\A~NSISu_.exe"="WinHound"
; End Of The Log...
Logfile of HijackThis v1.99.1
Scan saved at 23:54:46, on 02.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\syskv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\DIGStream\digstream.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\download\regsearch\regsearch.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\download\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cool-homepage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cool-homepage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://66.250.57.28/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F1 - win.ini: run=fntldr.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer Enterprise\Add_AllO.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Messenger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Messenger\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\syskv.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe