Spyware InfectionThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
07.01.2006, 23:52
Member
Beiträge: 13 |
||
|
||
08.01.2006, 00:08
Ehrenmitglied
Beiträge: 29434 |
#2
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 01:01
Member
Themenstarter Beiträge: 13 |
#3
so hier sind sie:
Logfile of HijackThis v1.99.1 Scan saved at 01:00:30, on 08.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\system32\RunDll32.exe F:\Programme\DAEMON Tools\daemon.exe F:\Programme\Anti-Blaxx\Anti-Blaxx.exe F:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe F:\spiele\steam\steam.exe F:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe F:\Sven\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Anti-Blaxx Manager] F:\Programme\Anti-Blaxx\Anti-Blaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - Startup: Xfire.lnk = F:\Programme\Xfire\Xfire.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe vielen dank schon mal im vorraus!! MfG AVATAR |
|
|
||
08.01.2006, 11:43
Ehrenmitglied
Beiträge: 29434 |
#4
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html kopiere hier die 4 Textdateien (3 Monate vom Datum her genuegen) http://virus-protect.org/datfindbat.html ------------------- schreibe mir bitte, wozu dieses Programm dient: C:\Programme\Anti-Blaxx __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.01.2006, 17:06
Member
Themenstarter Beiträge: 13 |
#5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEA-E186 Verzeichnis von C:\WINDOWS\system32 08.01.2006 16:57 29.204 nvapps.xml 07.01.2006 23:58 7.006 jupdate-1.5.0_06-b05.log 06.01.2006 18:18 7.110 paytime.exe 06.01.2006 17:13 2.206 wpa.dbl 31.12.2005 15:35 39.992 perfc009.dat 31.12.2005 15:35 48.156 perfc007.dat 31.12.2005 15:35 316.594 perfh007.dat 31.12.2005 15:35 311.604 perfh009.dat 31.12.2005 15:35 723.744 PerfStringBackup.INI 31.12.2005 15:33 90.296 FNTCACHE.DAT 29.12.2005 23:09 34.064 lhacm.acm 29.12.2005 03:54 280.064 gdi32.dll 29.12.2005 02:07 2.293 sdbackup.reg 28.12.2005 22:05 13.280 PQ_DEBUG.TXT 28.12.2005 22:05 985 PQ_BATCH.PQB 28.12.2005 20:51 261 $winnt$.inf 28.12.2005 20:47 2.951 CONFIG.NT 28.12.2005 20:47 16.832 amcompat.tlb 28.12.2005 20:47 23.392 nscompat.tlb 28.12.2005 20:45 488 WindowsLogon.manifest 28.12.2005 20:45 488 logonui.exe.manifest 28.12.2005 20:45 749 wuaucpl.cpl.manifest 28.12.2005 20:45 749 ncpa.cpl.manifest 28.12.2005 20:45 749 nwc.cpl.manifest 28.12.2005 20:45 749 cdplayer.exe.manifest 28.12.2005 20:45 749 sapi.cpl.manifest 28.12.2005 20:39 21.740 emptyregdb.dat 28.12.2005 20:35 0 h323log.txt 08.12.2005 16:25 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 3.013.632 mshtml.dll 24.11.2005 00:58 1.022.464 browseui.dll 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 21.10.2005 04:40 664.064 wininet.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CEA-E186 Verzeichnis von C:\DOKUME~1\EIKEPA~1\LOKALE~1\Temp 08.01.2006 16:57 32.768 ~DFCE61.tmp 08.01.2006 15:30 32.768 ~DF1721.tmp 2 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 6.106.411.008 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CEA-E186 Verzeichnis von C:\WINDOWS 08.01.2006 16:57 155 winamp.ini 08.01.2006 15:31 0 0.log 08.01.2006 15:30 540.354 WindowsUpdate.log 08.01.2006 15:30 2.048 bootstat.dat 08.01.2006 02:07 5.318 SchedLgU.Txt 07.01.2006 23:58 283.264 setupapi.log 07.01.2006 01:00 284.129 iis6.log 07.01.2006 01:00 87.644 comsetup.log 07.01.2006 01:00 51.442 ntdtcsetup.log 07.01.2006 01:00 12.137 tabletoc.log 07.01.2006 01:00 108.922 tsoc.log 07.01.2006 01:00 1.355 imsins.log 07.01.2006 01:00 12.855 ocmsn.log 07.01.2006 01:00 11.075 KB912919.log 07.01.2006 01:00 16.362 MedCtrOC.log 07.01.2006 01:00 40.695 netfxocm.log 07.01.2006 01:00 11.686 msgsocm.log 07.01.2006 01:00 116.792 ocgen.log 07.01.2006 01:00 227.936 FaxSetup.log 07.01.2006 01:00 76.522 msmqinst.log 07.01.2006 01:00 13.113 updspapi.log 06.01.2006 18:19 1.999 desktop.html 06.01.2006 18:18 3.048 secure32.html 06.01.2006 18:18 31.744 soft.exe 04.01.2006 00:38 50 wiaservc.log 04.01.2006 00:38 214 wiadebug.log 31.12.2005 16:15 176.330 setupact.log 31.12.2005 01:39 1.393 imsins.BAK Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 4CEA-E186 Verzeichnis von C:\ 08.01.2006 17:02 0 sys.txt 08.01.2006 17:02 6.445 system.txt 08.01.2006 17:01 344 systemtemp.txt 08.01.2006 16:58 93.496 system32.txt 08.01.2006 15:30 805.306.368 pagefile.sys 06.01.2006 18:18 3.048 secure32.html 06.01.2006 18:18 31.744 winstall.exe 28.12.2005 22:05 211 boot.ini 28.12.2005 20:47 0 IO.SYS 28.12.2005 20:47 0 MSDOS.SYS 28.12.2005 20:47 0 AUTOEXEC.BAT 28.12.2005 20:47 0 CONFIG.SYS 31.12.2002 13:00 4.952 bootfont.bin 31.12.2002 13:00 251.184 ntldr 31.12.2002 13:00 47.564 NTDETECT.COM 15 Datei(en) 805.745.356 Bytes 0 Verzeichnis(se), 6.106.398.720 Bytes frei so ich hoffe es ist alles komplett! ach ja die datei Anti-Blaxx ist nichts gefährliches! Danke nochmal! MfG AVATAR |
|
|
||
08.01.2006, 17:22
Ehrenmitglied
Beiträge: 29434 |
#6
AVATAR
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" - R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\paytime.exe C:\secure32.html C:\winstall.exe C:\WINDOWS\desktop.html C:\WINDOWS\secure32.html C:\WINDOWS\soft.exe PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. kopiere hier das Log vom Silentrunner http://virus-protect.org/silentrunner.html ---------------------------------------------------- c:\secure32.html http://virus-protect.org/artikel/spyware/secure_32.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 10:37
Member
Themenstarter Beiträge: 13 |
#7
so hier noch das Log vom Silentrunner:
"Silent Runners.vbs", revision 42, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Steam" = ""f:\spiele\steam\steam.exe" -silent" ["Valve Corporation"] "SpybotSD TeaTimer" = "F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "HTpatch" = "C:\WINDOWS\htpatch.exe" [null data] "SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "DAEMON Tools" = ""F:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."] "Anti-Blaxx Manager" = "F:\Programme\Anti-Blaxx\Anti-Blaxx.exe" [null data] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "WinampAgent" = "F:\Programme\Winamp\winampa.exe" [null data] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "PayTime" = "C:\WINDOWS\system32\paytime.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "F:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] {User Configuration|Administrative Templates|Desktop|Active Desktop| Enable Active Desktop} HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html" [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper and enables Active Desktop] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Startup items in "Eike Pauls" & "All Users" startup folders: ------------------------------------------------------------ C:\Dokumente und Einstellungen\Eike Pauls\Startmenü\Programme\Autostart "Xfire" -> shortcut to: "F:\Programme\Xfire\Xfire.exe" ["Xfire Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 20 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 7 seconds. ---------- (total run time: 45 seconds) |
|
|
||
09.01.2006, 11:06
Ehrenmitglied
Beiträge: 29434 |
#8
AVATAR
Gehe in die Registry Start-->Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "Wallpaper" = "C:\WINDOWS\desktop.html" ----------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken. Zitat REGEDIT4scanne mit kaspersky und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 11:18
Member
Themenstarter Beiträge: 13 |
#9
hi sabina!
du die "Wallpaper" = "C:\WINDOWS\desktop.html" ist in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer nicht enthalten. es gibt diese aber in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Was soll ich machen? MfG Avatar |
|
|
||
09.01.2006, 11:29
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.01.2006, 11:41
Member
Themenstarter Beiträge: 13 |
#11
ich habe noch etwas.... ;-)
und zwar kann der die reg datei im abgesichertem modus nicht importieren....er sagt es sein keine regestrierungsdatei?? muss ich beim speicher die codierung änder? die steht jetzt auf ANSI ! oder hast du sonst eine idee woran es liegen könnte? |
|
|
||
09.01.2006, 11:46
Ehrenmitglied
Beiträge: 29434 |
#12
ich hatte einen klitzekleinen Fehler gemacht...ist schon korigiert mache refresh und kopiere die reg neu...dann wird es klappen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 13:42
Member
Themenstarter Beiträge: 13 |
#13
so es hat etwas gedauert aber hier ist der report:
------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Monday, January 09, 2006 13:41:35 Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 9/01/2006 Kaspersky Anti-Virus database records: 159682 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ F:\ G:\ Scan Statistics: Total number of scanned objects: 27060 Number of viruses found: 2 Number of infected objects: 6 Number of suspicious objects: 0 Duration of the scan process: 2894 sec Infected Object Name - Virus Name C:\!KillBox\paytime.exe Infected: Trojan.Win32.StartPage.agq C:\!KillBox\soft.exe Infected: not-virus:Hoax.Win32.Renos.an C:\!KillBox\winstall.exe Infected: not-virus:Hoax.Win32.Renos.an C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004295.exe Infected: Trojan.Win32.StartPage.agq C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004296.exe Infected: not-virus:Hoax.Win32.Renos.an C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004297.exe Infected: not-virus:Hoax.Win32.Renos.an Scan process completed. |
|
|
||
09.01.2006, 13:44
Ehrenmitglied
Beiträge: 29434 |
#14
deaktiviere die systemwiederherstellung, loesche manuell:
C:\!KillBox\paytime.exe C:\!KillBox\soft.exe C:\!KillBox\winstall.exe dann aktiviere die Systemwiederherstellung wieder. dann sollte eigentlich wieder alles in Ordnung sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.01.2006, 13:49
Member
Themenstarter Beiträge: 13 |
#15
mhhh...wie deaktiviere / aktiviere ich sie?
|
|
|
||
ich habe da ein problem mit der spyware. sobald ich den browser öffne werde ich auf C:\secure32.html umgeleitet. Als warnmeldung bekomme ich dann folgenden hinweis Detected SPYware! System error #384
ich habe schon sämtliche virenprogramme etc. drüberlaufen lassen...aber ohne wirklichen erfolg!
könnte mir vielleicht einer weiterhelfen wenn ich meine logfiles (Logfile of HijackThis v1.99.1) poste? ich weis auch nicht wirklich welche ich fixen kann / darf! die automatische auswertung der logfiles hat leider auch nichts gebracht!
MfG
AVATAR