Verseucht mit vielen unterschiedlichen Viren etc.Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.01.2006, 17:30
Member
Beiträge: 38 |
||
|
||
09.01.2006, 15:06
Ehrenmitglied
Beiträge: 29434 |
#2
trimalcio
das ist der Wareout--> deine Internetverbindung geht in die Ukraine .... Zitat NameServer = 85.255.116.43,85.255.112.200Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 16:24
Member
Themenstarter Beiträge: 38 |
#3
Hallo Sabina,
vielen Dank für die Antwort. Ich habe den "Blacklight rootkiteliminator" laufen lassen. Er hat aber wohl nichts gefunden. folgende Log-Datei wurde erzeugt: 01/09/06 16:15:19 [Info]: BlackLight Engine 1.0.30 initialized 01/09/06 16:15:19 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/09/06 16:15:20 [Note]: 7019 4 01/09/06 16:15:20 [Note]: 7005 0 01/09/06 16:15:22 [Note]: 7006 0 01/09/06 16:15:22 [Note]: 7011 1432 01/09/06 16:15:22 [Note]: FSRAW library version 1.7.1014 01/09/06 16:16:10 [Note]: 7007 0 Als Laie muss ich mal ganz naiv fragen: Was bedeutet "meine Internetverbindung geht in die Ukraine"? Welche Folgen kann das haben? Gruß aus dem Norden, Trimalcio |
|
|
||
09.01.2006, 16:27
Ehrenmitglied
Beiträge: 29434 |
#4
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html kopiere hier die 4 textdateien (3 Monate vom Datum her) http://virus-protect.org/datfindbat.html dein PC ist gehackt, und wird als zwischenstation verwendet Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200% Information related to '85.255.112.0 - 85.255.127.255' inetnum: 85.255.112.0 - 85.255.127.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine remarks: ----------------------------------- remarks: Abuse notifications to: abuse@inhoster.com remarks: Network problems to: noc@inhoster.com remarks: Peering requests to: peering@inhoster.com remarks: ----------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 17:02
Member
Themenstarter Beiträge: 38 |
#5
Hallo Sabina,
abermals Danke. Ich werde gehackt? Als Zwischenstation? Macht das mir oder anderen Personen Schaden? Clean Up habe ich laufen lassen. data-find hat folgendes ergeben: Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 182E-B4DD Verzeichnis von C:\WINDOWS\system32 09.01.2006 07:29 13.646 wpa.dbl 06.01.2006 15:37 0 asfiles.txt 06.01.2006 15:35 2.550 Uninstall.ico 06.01.2006 15:35 1.406 Help.ico 02.01.2006 12:25 654.111 filesafer23.exe 02.01.2006 12:25 5.632 favset.exe 02.01.2006 12:25 45.568 pppcgm.exe 02.01.2006 12:25 4.608 sphlp32.exe 02.01.2006 12:25 2.048 howiper.exe 02.01.2006 12:25 51.200 csmnn.exe 29.12.2005 03:54 280.064 gdi32.dll 14.12.2005 13:15 64 bs.bin 12.12.2005 07:48 7.006 jupdate-1.5.0_06-b05.log 08.12.2005 16:25 2.723.680 MRT.exe 07.12.2005 11:30 770.048 CDDBUINokia.dll 07.12.2005 11:29 643.072 CDDBControlNokia.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 29.11.2005 12:49 246.272 ConnAPI.dll 28.11.2005 09:08 115.712 DAAPI.dll 24.11.2005 10:53 110.592 NclAPI.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 09.11.2005 08:08 239.944 FNTCACHE.DAT 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 31.10.2005 07:45 383.254 perfh009.dat 31.10.2005 07:45 53.608 perfc009.dat 31.10.2005 07:45 64.598 perfc007.dat 31.10.2005 07:45 394.500 perfh007.dat 31.10.2005 07:45 906.552 PerfStringBackup.INI 28.10.2005 13:51 26.624 NclTools.dll 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 251.392 iepeers.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 08:15 48.128 nmwcdcls.dll 13.10.2005 00:11 15.584 spmsg.dll 06.10.2005 04:08 1.839.616 win32k.sys Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 182E-B4DD Verzeichnis von C:\DOKUME~1\\LOKALE~1\Temp 09.01.2006 07:30 0 INMEM000.REM 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 5.966.229.504 Bytes frei Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 182E-B4DD Verzeichnis von C:\WINDOWS 09.01.2006 08:53 180 hpbafd.ini 09.01.2006 07:29 1.862.226 WindowsUpdate.log 09.01.2006 07:29 0 0.log 09.01.2006 07:29 2.048 bootstat.dat 07.01.2006 16:33 32.586 SchedLgU.Txt 07.01.2006 16:33 836 bthservsdp.dat 06.01.2006 18:39 189.065 setupact.log 06.01.2006 16:14 25.514 setupapi.log 06.01.2006 15:37 669 win.ini 06.01.2006 07:42 349.310 iis6.log 06.01.2006 07:42 107.431 comsetup.log 06.01.2006 07:42 1.355 imsins.log 06.01.2006 07:42 15.289 tabletoc.log 06.01.2006 07:42 63.557 ntdtcsetup.log 06.01.2006 07:42 137.132 tsoc.log 06.01.2006 07:42 16.275 ocmsn.log 06.01.2006 07:42 11.022 KB912919.log 06.01.2006 07:42 20.623 MedCtrOC.log 06.01.2006 07:42 51.525 netfxocm.log 06.01.2006 07:42 145.952 ocgen.log 06.01.2006 07:42 14.776 msgsocm.log 06.01.2006 07:42 289.759 FaxSetup.log 06.01.2006 07:42 95.092 msmqinst.log 06.01.2006 07:42 27.554 updspapi.log 04.01.2006 12:34 19 SoundConverter.INI 02.01.2006 13:25 7.245 cfgall.ini 02.01.2006 12:42 4.639 rdt.ini 23.12.2005 15:07 47 wiaservc.log 23.12.2005 15:07 216 wiadebug.log 14.12.2005 13:01 1.393 imsins.BAK 14.12.2005 13:01 9.957 KB910437.log 14.12.2005 13:01 16.995 KB905915.log 18.11.2005 18:33 1.985 TMFilter.log 09.11.2005 08:06 11.906 KB896424.log 22.10.2005 12:02 24.283 KB901017.log 22.10.2005 12:01 27.897 KB902400.log 22.10.2005 12:01 17.850 KB896688.log 22.10.2005 12:00 13.961 KB899589.log 22.10.2005 12:00 14.283 KB905414.log 22.10.2005 12:00 14.195 KB900725.log 22.10.2005 12:00 11.406 KB904706.log 22.10.2005 12:00 12.002 KB905749.log 06.10.2005 08:46 0 setuperr.log Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 182E-B4DD Verzeichnis von C:\ 09.01.2006 17:00 0 sys.txt 09.01.2006 16:59 7.859 system.txt 09.01.2006 16:59 286 systemtemp.txt 09.01.2006 16:58 97.291 system32.txt 09.01.2006 07:29 536.137.728 hiberfil.sys 09.01.2006 07:29 1.073.741.824 pagefile.sys Gruß Trimalcio |
|
|
||
09.01.2006, 18:09
Ehrenmitglied
Beiträge: 29434 |
#6
trimalcio
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked-->PC neustarten R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing) O4 - HKLM\..\Run: [control64] BoundRec.exe O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe O4 - HKCU\..\Run: [slamm] KeywordFinder.exe O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe O4 - HKCU\..\Run: [MON76234] sound64.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200 PC neustarten--> F8 druecken, wenn der PC hochfaehrt--> gehe in den abgesicherten Modus loesche (im abgesicherten Modus) C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\favset.exe C:\WINDOWS\system32\pppcgm.exe C:\WINDOWS\system32\sphlp32.exe C:\WINDOWS\system32\howiper.exe C:\WINDOWS\system32\csmnn.exe C:\WINDOWS\cfgall.ini C:\WINDOWS\rdt.ini ------------------------------------------------------------------------ 02.01.2006 -- schau, ob es noch andere Dateien gibt, die an diesem Tag erstellt wurden dann kopiere hier das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.01.2006, 16:34
Member
Themenstarter Beiträge: 38 |
#7
Hallo Sabina,
ich habe getan wie mir geheißen. Der abgesicherte Modus ist für mich nicht zugänglich, da ich nicht der Administrator bin (kannst Dir vielleicht denken warum, hab hier ziemlich Mist gemacht...), aber das Löschen ging auch so. PROBLEM: mein PC geht danach nicht mehr ins Internet (schreibe hier von woanders)!! Das ist ein großes Problem für mich. Kann das daran liegen, dass "NameServer" jetzt garnicht mehr besetzt ist? Hier nochmal mein aktuelles Logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:01:27, on 10.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\lotus\notes\ntmulti.exe d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\TEMP\HKDB39.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe F:\Verwaltung_DB\Tenovis\Dialit32.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\lotus\notes\NLNOTES.EXE C:\Programme\lotus\notes\ntaskldr.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\WISPTIS.EXE S:\Dateien Steuerreferat\7. Verwaltung Steuerreferat\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\Software\..\Telephony: DomainName = lvn.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Gruß Trimalcio |
|
|
||
11.01.2006, 00:21
Ehrenmitglied
Beiträge: 29434 |
#8
du hast die internetverbindung loeschen muessen... es war eine verbindung vom Wareout...nun musst du eine neue erstellen
obwohl: die hier muesste eigentlich noch funktionieren..... O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local Zitat manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.falls du an einem Firmenrechner sitzt, bitte den Administrator, alles wieder in Ordnung zu bringen, eventuell zu formatieren (auch wenn man den Wareout bereinigen kann) berichte dann, ob du weiter reinigen willst/kannst.......denn die Reinigung ist noch nicht beendet... es kommt noch mehr. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 08:19
Member
Themenstarter Beiträge: 38 |
#9
Hallo Sabina,
es läuft wieder. Ich habe in der Registry einen "NameServer" dort eingerichtet wo der anstößige wohl gesessen hat. Mit einer Nummer, die ich auf einen Nachbar-PC gefunden habe. Keine Ahnung, wo und was ich da getan habe - aber der Interntzugang geht ja wieder. Abgesehen davon läuft der PC (ja, es ist ein Firmenrechner) wieder ganz fröhlich: er läuft problemlos hoch, hakt nicht mehr. Für mich als Laien (mit ungeahnten Hackerqualitäten?) erscheint er wieder gesund. Aber lass uns mal weitermachen - wenn es was zu reinigen gibt, dann müssen wir da wohl ran. Ich hab hier keine Admin-Rechte auf meinem PC, kann aber Programme installieren, in der Registry herumfuhrwerken und alles löschen, was ich sehen kann (kann ich alles sehen?). Der Rechner ist in ein Netz eingebunden, darüber läuft auch der Internetanschluss. Der Angriff auf den PC lief wohl am 2.1.06 um 12.25 Uhr. Die Suchfunktion des PC findet keine weiteren Dateien, die zu diesem Zeitpunkt hinzugekommen sind oder verändert wurden. Gut möglich, dass es über die bekannte Sicherheitslücke bei Windows gekommen ist (beim Anschauen von Bildern, die man sich besser ersparen sollte) das entsprechende Update für Windows habe ich inzwischen drauf. Hier nochmal das aktuelle Logfile, da kannst Du wohl auch den Internetzugang sehen. Ist der so noch bedenklich? Gruß und Dank aus dem Norden Trimalcio Logfile of HijackThis v1.99.1 Scan saved at 08:16:50, on 11.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\lotus\notes\ntmulti.exe d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\TEMP\KZ7F10.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe F:\Verwaltung_DB\Tenovis\Dialit32.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\lotus\notes\NLNOTES.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\lotus\notes\ntaskldr.EXE H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\Software\..\Telephony: DomainName = lvn.local O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 192.168.250.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 192.168.250.9 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe |
|
|
||
11.01.2006, 09:32
Ehrenmitglied
Beiträge: 29434 |
#10
kopiere hier das Log vom Silentrunner --> ich hoffe, die Hosts ist nicht vom Administrator deaktiviert.
http://virus-protect.org/silentrunner.html falls ja, poste den Winpfind http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 09:56
Member
Themenstarter Beiträge: 38 |
#11
Hallo Sabina:
hier das LOG vom Silentrunner: Gruß Trimalcio "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "PcSync" = "C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog" ["Time Information Services Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Smapp" = "C:\Programme\Analog Devices\SoundMAX\SMTray.exe" ["Analog Devices, Inc."] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "OfficeScanNT Monitor" = ""d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."] "BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS] "PCSuiteTrayApplication" = "C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray" ["Nokia"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "FilZip Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{C0C4375A-5B72-4efe-929D-3B848C3A1E91}" = "Message View" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll" ["Nokia"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csody.exe" [file not found] HKLM\Software\Classes\PROTOCOLS\Filter\ INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ FilZip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\FilZip\fzshext.dll" ["Philipp Engel"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\(...Name....)\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "(..... Name......)" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Verknüpfung mit Dialit32" -> shortcut to: "F:\Verwaltung_DB\Tenovis\Dialit32.exe" ["ek-soft"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 14 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]} Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] Multi-user Cleanup Service, Multi-user Cleanup Service, "C:\Programme\lotus\notes\ntmulti.exe" [null data] OfficeScanNT Echtzeitsuche, ntrtscan, "d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."] OfficeScanNT Listener, tmlisten, "d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."] OfficeScanNT Personal Firewall, OfcPfwSvc, "d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe" ["Trend Micro Inc."] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"] Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 32 seconds, including 18 seconds for message boxes) |
|
|
||
11.01.2006, 10:27
Ehrenmitglied
Beiträge: 29434 |
#12
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 11:18
Member
Themenstarter Beiträge: 38 |
#13
Hallo Sabina,
in den abgesicherten Modus komme ich wie schon gesagt nicht - oder ich bringe es nicht fertig :-) Habe das ganze dann so laufen lassen. Hier das Log von Fixwareout und das neueste von Hijakthis. (Was ist "Wateout"?) Gruß, Trimalcio Fixwareout ver 1.003 Last edited 12/5/2005 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool Logfile of HijackThis v1.99.1 Scan saved at 11:17:41, on 11.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\lotus\notes\ntmulti.exe d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\TEMP\HEED02.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe F:\Verwaltung_DB\Tenovis\Dialit32.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Internet Explorer\iexplore.exe H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\Software\..\Telephony: DomainName = lvn.local O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 192.168.250.9 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 192.168.250.9 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe |
|
|
||
11.01.2006, 11:29
Ehrenmitglied
Beiträge: 29434 |
#14
Info Wareout-->"gesammelte Werke"
http://virus-protect.org/artikel/spyware/idemlog.html http://virus-protect.org/artikel/spyware/wareout.html http://virus-protect.org/multiavtool.html klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. - man muss eingeben, was gescannt werden soll - C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2006, 12:46
Member
Themenstarter Beiträge: 38 |
#15
Hallo Sabina,
hier die Scan-reporte (das Programm hat den einen oder anderen File nicht öffnen können): Gruß Trimalcio 01/11/2006 12:24:25 Options: "C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [SYSTEM] Scanning C:\WINDOWS\SYSTEM32\*.* Summary report on C:\WINDOWS\SYSTEM32\*.* File(s) Total files: ........... 8070 Clean: ................. 8060 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:04.06 01/11/2006 12:30:57 Options: "C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [SYSTEM] Scanning C:\WINDOWS\*.* Summary report on C:\WINDOWS\*.* File(s) Total files: ........... 26259 Clean: ................. 26247 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 1 Time: 00:07.59 01/11/2006 11:46:18 Options: "C:" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [SYSTEM] Scanning C:\*.* Summary report on C:\*.* File(s) Total files: ........... 206380 Clean: ................. 206343 Possibly Infected: ..... 0 Cleaned: ............... 0 Non-critical Error(s): 2 Master Boot Record(s): ......... 2 Possibly Infected: ..... 0 Boot Sector(s): ................ 1 Possibly Infected: ..... 0 Time: 00:28.20 |
|
|
||
ich habe - ohne genau zu wissen wo - etliche Viren/Spyware und dergleichen eingefangen. Ich habe schon laufen lassen:
- adaware
- spybot
- cw shredder
- trendmicro online scan
- bitdefender online scan
- panda online scan
- kaspersky online scan
bis auf cw shredder und kaspersky haben sie alle irgendwas gefunden und gelöscht.
Problem ist, dass der PC sich nun immer wieder aufhängt bzw. mit Fehlern startet.
Kann man aus dem Logfile noch etwas bösartiges sehen?
Für Hilfe wäre ich sehr sehr dankbar!
trimalcio
Logfile of HijackThis v1.99.1
Scan saved at 17:25:27, on 06.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\lotus\notes\ntmulti.exe
d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINDOWS\system32\wdfmgr.exe
d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\RVB78E.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
F:\Verwaltung_DB\Tenovis\Dialit32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\SEUPDA~1.EXE
C:\WINDOWS\explorer.exe
H:\Sicherung eigene Dateien 4.01.2006\Sonstiges\Programme\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {1535835B-C1E6-7DF5-25A5-F370BBB4B520} - backorif.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "d:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [control64] BoundRec.exe
O4 - HKLM\..\Run: [mozilla-text] forces_elite.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [slamm] KeywordFinder.exe
O4 - HKCU\..\Run: [iesetupdll] SetupExeDll.exe
O4 - HKCU\..\Run: [MON76234] sound64.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit Dialit32.lnk = Verwaltung_DB\Tenovis\Dialit32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\Software\..\Telephony: DomainName = lvn.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{46B089F9-790C-4D44-A6F9-6644C74B9722}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB48C051-FEFE-4658-964E-836A8B485AE2}: NameServer = 85.255.116.43,85.255.112.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lvn.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lvn.local
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - d:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe