Spy-Sheriff + zusätzliches anderes Problem |
||
---|---|---|
#0
| ||
08.01.2006, 13:03
...neu hier
Beiträge: 8 |
||
|
||
08.01.2006, 17:43
Ehrenmitglied
Beiträge: 29434 |
#2
Nilstar
stelle den Cleaner genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html datfindbat (kopiere die 4 Textdateien (3 Monate vom Datum her) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 17:21
...neu hier
Themenstarter Beiträge: 8 |
#3
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5F40-4A1F Verzeichnis von C:\WINDOWS\system32 13.01.2006 17:12 12 tickcnt.bin 13.01.2006 17:03 1.158 wpa.dbl 07.01.2006 20:53 425.984 atmtd.dll 07.01.2006 20:36 74.752 p2p.exe 07.01.2006 20:36 56.628 paradise.raw.exe 07.01.2006 20:36 4 winsub.xml 07.01.2006 20:36 65 svcp.csv 07.01.2006 20:35 7.192 paytime.exe 07.01.2006 20:35 45.372 wmedia32.exe 29.12.2005 03:54 280.064 gdi32.dll 25.12.2005 19:43 98.304 CmdLineExt.dll 25.12.2005 15:33 6.977 jupdate-1.5.0_06-b05.log 08.12.2005 16:25 2.723.680 MRT.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 20.11.2005 12:36 52.962 perfc009.dat 20.11.2005 12:36 380.548 perfh009.dat 20.11.2005 12:36 63.778 perfc007.dat 20.11.2005 12:36 391.244 perfh007.dat 20.11.2005 12:36 897.778 PerfStringBackup.INI 11.11.2005 17:16 146.808 FNTCACHE.DAT 10.11.2005 13:03 127.078 javaws.exe 10.11.2005 13:03 49.265 jpicpl32.cpl 10.11.2005 11:27 49.250 javaw.exe 10.11.2005 11:27 49.248 java.exe 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 21.10.2005 04:40 664.064 wininet.dll 21.10.2005 04:40 474.112 shlwapi.dll 21.10.2005 04:40 530.944 mstime.dll 21.10.2005 04:40 146.432 msrating.dll 21.10.2005 04:40 448.512 mshtmled.dll 21.10.2005 04:40 39.424 pngfilt.dll 21.10.2005 04:40 96.768 inseng.dll 21.10.2005 04:40 205.312 dxtrans.dll 21.10.2005 04:40 55.808 extmgr.dll 21.10.2005 04:40 152.064 cdfview.dll 21.10.2005 04:40 251.392 iepeers.dll 20.10.2005 23:25 1.094.144 esent.dll 13.10.2005 00:11 15.584 spmsg.dll 13.10.2005 00:11 118.784 sirenacm.dll 06.10.2005 04:08 1.839.616 win32k.sys 03.10.2005 04:35 176.167 rmoc3260.dll 03.10.2005 04:34 5.632 pndx5032.dll 03.10.2005 04:34 6.656 pndx5016.dll 03.10.2005 04:34 278.528 pncrt.dll 01.10.2005 22:55 100 LuResult.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5F40-4A1F Verzeichnis von C:\DOKUME~1\NILSST~1\LOKALE~1\Temp 13.01.2006 17:14 822 jusched.log 13.01.2006 17:12 917.504 MFPL7014.DLL 13.01.2006 17:06 16.384 ~DFBE50.tmp 13.01.2006 17:06 16.384 ~DFA7E6.tmp 13.01.2006 17:05 0 $b17a2e8.tmp 08.01.2006 14:39 72.192 ~e5.0001 6 Datei(en) 1.023.286 Bytes 0 Verzeichnis(se), 19.440.070.656 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5F40-4A1F Verzeichnis von C:\WINDOWS 13.01.2006 17:13 1.621.690 WindowsUpdate.log 13.01.2006 17:08 3.304 KB908519.log 13.01.2006 17:04 0 0.log 13.01.2006 17:03 157 wiadebug.log 13.01.2006 17:03 50 wiaservc.log 13.01.2006 17:03 2.048 bootstat.dat 08.01.2006 17:49 32.622 SchedLgU.Txt 08.01.2006 17:49 1.125 winamp.ini 08.01.2006 02:12 0 enewsletterpro1.dat 07.01.2006 20:40 1.999 desktop.html 07.01.2006 20:38 0 drsmartloadb1.dat 07.01.2006 20:37 69.888 banmanpro.exe 07.01.2006 20:37 40 teller2.chk 07.01.2006 20:36 41.216 enewsletterpro.exe 07.01.2006 20:36 3.072 ms1.exe 07.01.2006 20:36 2.033 hosts 07.01.2006 20:36 1.024 tool5.exe 07.01.2006 20:36 1.024 tool4.exe 07.01.2006 20:36 8.238 tool3.exe 07.01.2006 20:35 3.061 secure32.html 07.01.2006 20:35 31.744 tool2.exe 07.01.2006 20:35 73.316 kl.exe 07.01.2006 20:34 0 uniq 06.01.2006 18:13 25.450 wmsetup.log 06.01.2006 15:55 43.440 iis6.log 06.01.2006 15:55 102.412 comsetup.log 06.01.2006 15:55 60.295 ntdtcsetup.log 06.01.2006 15:55 109.879 tsoc.log 06.01.2006 15:55 1.355 imsins.log 06.01.2006 15:55 15.249 ocmsn.log 06.01.2006 15:55 11.008 KB912919.log 06.01.2006 15:55 137.157 ocgen.log 06.01.2006 15:55 13.849 msgsocm.log 06.01.2006 15:55 271.269 FaxSetup.log 06.01.2006 15:55 828.238 setupapi.log 06.01.2006 15:55 21.822 updspapi.log 05.01.2006 22:12 11.716 ModemLog_Nokia Card Phone 2.0.txt 03.01.2006 17:45 1.989 uninstall_nmon.vbs 15.12.2005 22:41 1.393 imsins.BAK 15.12.2005 22:41 10.410 KB910437.log 15.12.2005 22:41 16.323 KB905915.log 09.12.2005 17:00 72.353 DirectX.log 27.11.2005 19:06 99.970 UninstallFirefox.exe 27.11.2005 19:06 3.571 mozver.dat 11.11.2005 16:43 11.801 KB896424.log 05.11.2005 22:11 42 KISS CD3.pls 05.11.2005 22:10 42 mdv736.pls 05.11.2005 22:05 42 KISS CD2.pls 05.11.2005 21:52 42 KISS CD1.pls 04.11.2005 22:15 23.552 xobglu32.dll 04.11.2005 22:15 63.488 xobglu16.dll 15.10.2005 22:08 22.927 KB901017.log 15.10.2005 22:07 25.143 KB902400.log 15.10.2005 22:07 15.344 KB896688.log 15.10.2005 22:07 12.069 KB905414.log 14.10.2005 23:22 13.345 KB900725.log 14.10.2005 15:12 11.350 KB904706.log 14.10.2005 15:11 12.088 KB905749.log 03.10.2005 04:40 25 cdplayer.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5F40-4A1F Verzeichnis von C:\ 13.01.2006 17:21 0 sys.txt 13.01.2006 17:20 8.515 system.txt 13.01.2006 17:20 539 systemtemp.txt 13.01.2006 17:16 95.378 system32.txt 13.01.2006 17:03 501.731.328 hiberfil.sys 13.01.2006 17:03 754.974.720 pagefile.sys 07.01.2006 20:53 27.343 mc-110-12-0000228.exe 07.01.2006 20:35 3.061 secure32.html 07.01.2006 20:35 31.744 winstall.exe 18.10.2005 19:11 77 DVDPATH.TXT 02.08.2005 20:52 211 boot.ini 04.08.2004 09:00 4.952 bootfont.bin 04.08.2004 09:00 47.564 ntdetect.com 04.08.2004 09:00 251.184 ntldr 14 Datei(en) 1.257.176.616 Bytes 0 Verzeichnis(se), 19.440.033.792 Bytes frei |
|
|
||
13.01.2006, 18:23
Ehrenmitglied
Beiträge: 29434 |
#4
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: ... und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\paytime.exe C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\p2p.exe C:\WINDOWS\system32\paradise.raw.exe C:\WINDOWS\system32\winsub.xml C:\WINDOWS\system32\svcp.csv C:\WINDOWS\system32\paytime.exe C:\WINDOWS\system32\wmedia32.exe C:\DOKUME~1\NILSST~1\LOKALE~1\Temp\$b17a2e8.tmp C:\WINDOWS\enewsletterpro1.dat C:\WINDOWS\desktop.html C:\WINDOWS\drsmartloadb1.dat C:\WINDOWS\banmanpro.exe C:\WINDOWS\teller2.chk C:\WINDOWS\enewsletterpro.exe C:\WINDOWS\ms1.exe C:\WINDOWS\hosts C:\WINDOWS\tool5.exe C:\WINDOWS\tool4.exe C:\WINDOWS\tool3.exe C:\WINDOWS\secure32.html C:\WINDOWS\tool2.exe C:\WINDOWS\kl.exe C:\WINDOWS\uniq C:\mc-110-12-0000228.exe C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe C:\secure32.html C:\winstall.exe pc neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe O4 - HKCU\..\Run: [zmii] C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. C:\Programme\Gemeinsame Dateien\zmii <--loeschen kopiere das log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.01.2006, 20:00
...neu hier
Themenstarter Beiträge: 8 |
#5
ok was soll ich damit machen??
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS] "IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."] "Shell" = ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"" [null data] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "UpdateManager" = ""C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r" ["Sonic Solutions"] "SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "eabconfg.cpl" = "C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start" ["Hewlett-Packard "] "Cpqset" = "C:\Programme\HPQ\Default Settings\cpqset.exe" [null data] "ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup" ["InstallShield Software Corporation"] "ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"] "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "UIStarter" = ""C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe"" [null data] "DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"] "WMedia32" = "wmedia32.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data] "{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! docent0\DLLName = "docent0.dll" [file not found] INFECTION WARNING! igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."] Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies [Description]: ----------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html" [disables the Display Properties|Desktop (tab) (except the "Customize Desktop..." button); selects wallpaper if Active Desktop is enabled] Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Startup items in "Nils Steffen" & "All Users" startup folders: -------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] Enabled Scheduled Tasks: ------------------------ "Norton AntiVirus - Meinen Computer prüfen - Nils Steffen" -> launches: "C:\PROGRA~1\NORTON~2\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"] "Symantec NetDetect" -> launches: "C:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 26 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Internet Security" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"] "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop Missing lines (compared with English-language version): [Strings]: 1 line Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Command Service, cmdService, "C:\WINDOWS\TmlscyBTdGVmZmVu\command.exe" [null data] ISSvc, ISSVC, ""C:\Programme\Norton Internet Security\ISSVC.exe"" ["Symantec Corporation"] Network Monitor, Network Monitor, "C:\Programme\Network Monitor\netmon.exe service" [null data] Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"] Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"] Symantec Network Proxy, ccProxy, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"] Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 153 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 24 seconds. ---------- (total run time: 229 seconds) OK NOCH WAS: Der schickt die ganze Zeit wahllos emails ab nach irgendwo.. bis zu 10 auf einma.. was soll ich machen? Ich verzweifel gleich! Dieser Beitrag wurde am 13.01.2006 um 20:06 Uhr von Nilstar editiert.
|
|
|
||
13.01.2006, 23:54
Ehrenmitglied
Beiträge: 29434 |
#6
Lade:
SmitRem2.8 --> entpacke auf dem Desktop http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Gehe in die Registry Start-->Ausfuehren--> regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "Wallpaper" = "C:\WINDOWS\desktop.html" --- loeschen oder:unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "Wallpaper" = "C:\WINDOWS\desktop.html" --- loeschen --------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4öffne das HijackThis -- Button "scan" -- vor den Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll kopiere in die Killbox:und loesche C:\WINDOWS\SYSTEM32\docent0.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00002.dll C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\tmp.tmp C:\WINDOWS\TmlscyBTdGVmZmVu\command.exe Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken. loeschen: C:\WINDOWS\TmlscyBTdGVmZmVu SmitRem2.8 öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt --> kopiere hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 00:51
...neu hier
Themenstarter Beiträge: 8 |
#7
soweit so super...
hab sogar mein hintergrundbild wieder.. juhuu vielen dank!! aber jetz noch eins! Weil ich hab glaub ich nochn Ding drauf, weil der emails verschickt die ganze zeit. halt auch nich über incredimail oder so, sondern übern eigenen client glaub ich.. hier erstma die logfile.. smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ atmtd.dll atmtd.dll._ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 792 'explorer.exe' Starting registry repairs Deleting files Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
|
|
||
14.01.2006, 01:26
Ehrenmitglied
Beiträge: 29434 |
#8
du hast/hattest einen Goldrun-Virus drauf...mal sehen, ob der kaspersky noch was findet
http://virus-protect.org/onlinescan.html scanne mit Kaspersky und kopiere hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 09:58
...neu hier
Themenstarter Beiträge: 8 |
#9
ooooh je... wie krieg ich das denn bloß wieder weg??
------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Saturday, January 14, 2006 09:50:32 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 14/01/2006 Kaspersky Anti-Virus database records: 171722 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ F:\ Scan Statistics: Total number of scanned objects: 59447 Number of viruses found: 22 Number of infected objects: 66 Number of suspicious objects: 0 Duration of the scan process: 5688 sec Infected Object Name - Virus Name C:\Programme\Network Monitor\netmon.exe Infected: not-a-virus:Monitor.Win32.NetMon.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\017B73E1.exe Infected: Trojan-Clicker.Win32.VB.kc C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\018247D9.exe Infected: Trojan.Win32.StartPage.agp C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\04414A93.tmp Infected: Trojan-Downloader.Win32.CWS.s C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06915D3B.tmp Infected: Email-Worm.Win32.Bagle.ee C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2AF64558.exe Infected: Trojan-Downloader.Win32.Adload.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2F883BC2.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2F883BC2.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABA12EA.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABA12EA.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ABD3CE7.exe Infected: Trojan-Downloader.Win32.Adload.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC166E3.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC166E3.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC410DF.exe Infected: Trojan-Downloader.Win32.Small.buy C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AC73ADC.exe Infected: Trojan-Downloader.Win32.TSUpdate.o C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACB64D8.exe Infected: Trojan-Downloader.Win32.TSUpdate.o C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACE0ED5.exe Infected: Trojan-Downloader.Win32.Adload.j C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ACE0ED5.txt Infected: Trojan-Downloader.Win32.Adload.j C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD138D1.exe Infected: Trojan-Downloader.Win32.TSUpdate.f C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD462CE.exe Infected: Trojan-Downloader.Win32.TSUpdate.f C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD80CCA.exe Infected: Trojan-Downloader.Win32.TSUpdate.p C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3ADB36C6.exe Infected: Trojan-Downloader.Win32.TSUpdate.n C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AE10ABF.exe Infected: Trojan-Downloader.Win32.TSUpdate.f C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\41F43C8D.exe Infected: Trojan-Downloader.Win32.Adload.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\42733E62.tmp Infected: Trojan-Downloader.Win32.PassAlert.i C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5BFE27EC.exe Infected: Trojan-Downloader.Win32.TSUpdate.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\652E6758.exe Infected: Trojan-Downloader.Win32.Adload.l C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\70BE2357.exe Infected: Trojan-Downloader.Win32.Small.buy C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718B428F.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718B428F.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\718F6C8B.exe Infected: Trojan-Downloader.Win32.Small.buy C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\71921687.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014915.exe/run.exe Infected: Trojan-Downloader.Win32.PassAlert.i C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014915.exe Infected: Trojan-Downloader.Win32.PassAlert.i C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0014921.exe Infected: Trojan-Downloader.Win32.PassAlert.i C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015144.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015145.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0015149.exe Infected: Trojan-Downloader.Win32.Adload.j C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018228.exe Infected: Trojan-Clicker.Win32.VB.kc C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018229.exe Infected: Trojan.Win32.StartPage.agp C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018232.exe Infected: SpamTool.Win32.Mailbot.s C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018233.exe Infected: Packed.Win32.Klone.b C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018235.exe Infected: Trojan.Win32.StartPage.aha C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018236.exe Infected: Trojan-Downloader.Win32.Tiny.al C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018239.exe Infected: Packed.Win32.Klone.b C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018240.exe Infected: not-virus:Hoax.Win32.Renos.an C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018241.exe Infected: Trojan-Spy.Win32.Agent.jl C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP116\A0018243.exe Infected: not-virus:Hoax.Win32.Renos.an C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019283.dll Infected: Trojan-Spy.Win32.Goldun.gj C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019290.exe/run.exe Infected: Trojan-Downloader.Win32.PassAlert.i C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019290.exe Infected: Trojan-Downloader.Win32.PassAlert.i C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019297.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019300.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019301.dll Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019379.exe Infected: Trojan-Spy.Win32.Agent.jl C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019380.dll Infected: Trojan-Spy.Win32.Agent.jl C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP117\A0019381.dll Infected: Trojan-Spy.Win32.Agent.jl C:\WINDOWS\system32\docentd.sys Infected: Trojan-Spy.Win32.Goldun.gj Scan process completed. |
|
|
||
14.01.2006, 15:09
Ehrenmitglied
Beiträge: 29434 |
#10
loesche mit der Killbox:
C:\WINDOWS\system32\docentd.sys Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. booten und wieder aktivieren. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 16:10
...neu hier
Themenstarter Beiträge: 8 |
#11
ja hab ich aber er sendet immernoch emails...
nur weniger gerade... hmm soll ich die ganzen Dateien, die kaspersky gefunden hat alle löschen?? weiß ja nich.. habs erstma gelassen, weil das ja irgendwelche systemdatein zu sein schienen (aber ich kenn mich da auch nich so aus muss ich sagen) |
|
|
||
14.01.2006, 17:09
Ehrenmitglied
Beiträge: 29434 |
#12
mit dem deaktivieren der systemwiederherstellung werden geloescht:
C:\System Volume Information\_restore musst du loeschen, das ist der Goldrun-Virus C:\WINDOWS\system32\docentd.sys C:\WINDOWS\SYSTEM32\docent0.dll __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.01.2006, 18:35
...neu hier
Themenstarter Beiträge: 8 |
#13
ja der war unter anderem auch noch in c:/!s...(weiß nich mehr weiter)
hab alles so gemacht, trotzdem werden weiter emails verschickt.. lass grad zum 3ten ma kaspersky laufen aber mittlerweile findet er auch garnix mehr... (sieht zumindest danach aus) was kann das noch sein?? |
|
|
||
14.01.2006, 18:42
Moderator
Beiträge: 7805 |
#14
Arbeite schon mal etwas vor, damit Sabina die Infos schon mal bekommt:
Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.01.2006, 01:22
...neu hier
Themenstarter Beiträge: 8 |
#15
ja kay bin grad dabei, aber naja kaspersky hat doch was gefunden...
so einiges letztlich... soll ich das alles löschen?? ------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Sunday, January 15, 2006 01:14:57 Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.67.0 Kaspersky Anti-Virus database last update: 14/01/2006 Kaspersky Anti-Virus database records: 171797 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: extended Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: C:\ D:\ E:\ F:\ Scan Statistics: Total number of scanned objects: 54602 Number of viruses found: 11 Number of infected objects: 35 Number of suspicious objects: 0 Duration of the scan process: 4997 sec Infected Object Name - Virus Name C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000002.exe Infected: Trojan-Clicker.Win32.VB.kc C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000003.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000003.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000004.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000004.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000005.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000006.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000007.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000008.exe Infected: Trojan-Downloader.Win32.Adload.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000009.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000009.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000010.exe/data0001 Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000010.exe Infected: not-a-virus:AdWare.Win32.CommAd.a C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000011.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000012.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000013.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000014.exe Infected: Trojan-Downloader.Win32.Small.buy C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000017.exe Infected: Trojan.Win32.StartPage.agp C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000018.exe Infected: Trojan-Downloader.Win32.TSUpdate.o C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000019.exe Infected: Trojan-Downloader.Win32.TSUpdate.o C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000020.exe Infected: Trojan-Downloader.Win32.Adload.j C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000021.exe Infected: Trojan-Downloader.Win32.TSUpdate.f C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.TSUpdate.n C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0010.BIN Infected: Trojan-Downloader.Win32.TSUpdate.p C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0011.BIN Infected: Trojan-Downloader.Win32.TSUpdate.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe/WISE0012.BIN Infected: Trojan-Downloader.Win32.TSUpdate.f C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000022.exe Infected: Trojan-Downloader.Win32.TSUpdate.f C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000024.exe Infected: Trojan-Downloader.Win32.TSUpdate.l C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000025.exe Infected: Trojan-Downloader.Win32.TSUpdate.p C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000026.exe Infected: Trojan-Downloader.Win32.TSUpdate.n C:\System Volume Information\_restore{62440FC9-BC48-44B8-B4DB-C0AEF4DF6FCF}\RP1\A0000027.exe Infected: Trojan-Downloader.Win32.TSUpdate.f Scan process completed. uuuund hier noch die blacklightlist! 01/15/06 01:23:10 [Info]: BlackLight Engine 1.0.30 initialized 01/15/06 01:23:10 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/15/06 01:23:11 [Note]: 7019 4 01/15/06 01:23:11 [Note]: 7005 0 01/15/06 01:23:14 [Note]: 7006 0 01/15/06 01:23:14 [Note]: 7011 264 01/15/06 01:23:15 [Note]: FSRAW library version 1.7.1014 01/15/06 01:23:51 [Info]: Hidden file: C:\WINDOWS\system32\drivers\i386p.sys 01/15/06 01:23:51 [Note]: 10002 1 01/15/06 01:23:57 [Info]: Hidden file: C:\WINDOWS\system32\msctl32.dll 01/15/06 01:23:57 [Note]: 10002 1 01/15/06 01:27:47 [Note]: 7007 0 Dieser Beitrag wurde am 15.01.2006 um 01:28 Uhr von Nilstar editiert.
|
|
|
||
aber zusätzlich ist in der Taskleiste dieses komische Symbol (roterPunkt mit weißem Kreuz) dass mich also 15sek auf Spyware hinweist und dem ich auch noch diesen SpySheriff zu verdanken habe, weil dieser nämlich runtergeladen+installiert wird wenn man drauf klickt.
ok, natürlich hab ich das gemacht, ich denk ja nicht nach und hab versucht mit AdAware und Norton das wieder wegzukriegen, also der SpySheriff an sich ist glaub ich evtl sogar weg, aber irgendwie benutzt er mich grade als emailbomber und schickt eine email nach der anderen (seh das weil Norton ja immer die emails scannt)
ok, also ich hab mich halt einfach mal an die SpyAxe-Anleitung gehalten (dachte das trifft ja vlt auch auf mich zu) und hab mit cleanUp! gescannt, gerebootet und dann HJT laufen lassen, obwohl ich das nicht so ganz versteh weil in der Anleitung steht ich soll das Häkchen bei Malware aktivieren aber sowas finde ich da garnicht.
hmm.. hier dann auf jeden Fall mal die LogDatei (die komischerweise auch anders aussieht wie bei den Leuten im Forum...
auf jeden Fall wäre es sehr toll wenn ihr mir helfen könntet, weil auf Formatieren hab ich überhaupt keine Lust dafür sind meine Daten hier zu wichtig!!
Danke im Voraus
Nils
PS: hier die LogFile
Logfile of HijackThis v1.99.1
Scan saved at 12:49:32, on 08.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\paytime.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3d.exe
C:\windows\banmanpro.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe
C:\winstall.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Dokumente und Einstellungen\Nils Steffen\Desktop\hijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\ccEmFlSv.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [zmii] C:\PROGRA~1\GEMEIN~1\zmii\zmiim.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=laptop
O17 - HKLM\System\CCS\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{69E815E8-DCF2-4BE5-A4E7-16712E754A1F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{11C1C5FC-CE91-4B0D-A63F-39442063B0A5}: NameServer = 192.168.178.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe