Trojaner Dldr.zlob.ea.4Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
17.01.2006, 14:46
...neu hier
Beiträge: 3 |
||
|
||
17.01.2006, 14:50
Ehrenmitglied
Beiträge: 29434 |
#2
Nevermind01
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. http://board.protecus.de/download.php?id=213002.datFind.bat (stelle sie bitte per Anhang ins Forum ...siehe unten) Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 10:33
...neu hier
Beiträge: 2 |
#3
hi! ich habe das selbe problem, wär toll, wenn ihr mir weiterhelfen könntet
Logfile of HijackThis v1.99.1 Scan saved at 10:10:45, on 18.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Progra~1\Launch Manager\LaunchAp.exe C:\Progra~1\Launch Manager\PowerKey.exe C:\Progra~1\Launch Manager\HotkeyApp.exe C:\Progra~1\Launch Manager\CtrlVol.exe C:\Progra~1\Launch Manager\Wbutton.exe C:\Programme\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\QuickTime\qttask.exe C:\lokal\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\lokal\Programme\powerdvd\PDVDServ.exe C:\lokal\Programme\daemon\daemon.exe C:\lokal\Programme\AVPersonal\AVGNT.EXE C:\lokal\Programme\aphotostarterediton\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\LOKAL\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\lokal\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\wdfmgr.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\lokal\Programme\Spyware Doctor\sdhelp.exe C:\lokal\PROGRA~1\cleanup\cleanup.exe C:\Dokumente und Einstellungen\Chem Pion\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://sww.stusta.mhn.de/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.stusta.mhn.de:3130 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = windowsupdate.microsoft.com;v4.windowsupdate.microsoft.com ;download.windowsupdate.com;http://login.europe .yahoo.com/config/mail?.intl=de;http://spielwelt8.monstersgame.net/? R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\lokal\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\lokal\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [LManager] C:\Progra~1\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\lokal\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\lokal\Programme\powerdvd\PDVDServ.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\lokal\Programme\daemon\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\lokal\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\lokal\Programme\aphotostarterediton\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\lokal\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: PowerReg Scheduler.exe O4 - Startup: PowerReg Scheduler V3.exe O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\lokal\Programme\microsoftoffice\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\lokal\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\lokal\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\lokal\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\lokal\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\lokal\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://V5.Windowsupdate.microsoft.com und https O15 - Trusted Zone: http://Download.Windowsupdate.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116360676678 O17 - HKLM\System\CCS\Services\Tcpip\..\{C3637815-49F8-430E-BEB2-194319699C3E}: NameServer = 10.150.127.2,10.150.126.2 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = stusta.swh.mhn.de O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\LOKAL\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\lokal\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - c:\lokal\programme\catia\intel_a\code\bin\CATSysDemon.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\lokal\Programme\Spyware Doctor\sdhelp.exe cleanup durchgeführt und anbei die datfindbat-datei. gruß, chem Anhang: dirdat.txt
|
|
|
||
18.01.2006, 12:37
...neu hier
Themenstarter Beiträge: 3 |
#4
Logfile of HijackThis v1.99.1
Scan saved at 12:33:05, on 18.01.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\drivers\CDAC11BA.EXE C:\WINNT\System32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\WINNT\system32\CTHELPER.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINNT\system32\internat.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing) O2 - BHO: IECatcher Class - {569E7719-1A11-415E-9206-AC1860FB8BFF} - C:\Programme\InstantGet\IGCatcher.dll O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: InstantGet Bar - {98C92840-EB1C-40bd-B6A5-395EC9CD6510} - C:\Programme\InstantGet\IGIEBar.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [EPSON Stylus C42 Series (Kopieren 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P36 "EPSON Stylus C42 Series (Kopieren 2)" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ImageFox.lnk = C:\Programme\ACD Systems\ImageFox\ImageFox.exe O4 - Global Startup: Microsoft Office Fast Start.lnk = ? O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0000.1082\en-gb\bin\WindowsSearch.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download with InstantGet - res://C:\Programme\InstantGet\IGCatcher.dll/IGLink.htm O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Download &all with InstantGet - res://C:\Programme\InstantGet\IGCatcher.dll/IGAll.htm O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll O9 - Extra button: Run InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe O9 - Extra 'Tools' menuitem: &InstantGet - {6DDFE91C-A45C-4812-8F57-098932C9D88D} - C:\Programme\InstantGet\InstantGet.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - http://www.1mal1.com/flatcast/NpFv49.dll O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/ win/QuickTimeInstaller.exe O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe Anhang: dirdat.txt Dieser Beitrag wurde am 18.01.2006 um 12:39 Uhr von Nevermind01 editiert.
|
|
|
||
18.01.2006, 14:24
...neu hier
Beiträge: 1 |
#5
Hallo um mich mal vorher abzusicher, habe ich die zuvor beschriebenen Progr. ausgeführt.
Und stelle meine Daten hier mal zur Verfügung, in der Hoffnung dass ich keine Trojaner habe. 3 Bekannte von mir haben aber Probleme mit yahoo, dort kann man die emails im Posteingang nicht mehr öffnen ! Logfile of HijackThis v1.99.1 Scan saved at 14:01:06, on 18.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CPUCooL\CooLSrv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Apache\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Active+\eMill\bin\eMillSrv.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\Explorer.EXE Gruß mit der Bitte um Becsheid ob alles in Ordnung ist, das wäre sehr lieb! Kann es denn sein dass das Problem an yahoo liegt dass die mails nicht mehr zu öfnnen sind? Greetz ELC Anhang: dirdat.txt
|
|
|
||
18.01.2006, 14:33
Ehrenmitglied
Beiträge: 29434 |
#6
Chem-Pion
loesche: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\mscornet.exe arbeite das ab und berichte http://virus-protect.org/artikel/bfu/spyaxebfu.html -------------------------------------------- das ist ein Virus/Backdoor, O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe http://www.sophos.com/virusinfo/analyses/w32rbotir.html Zitat Suchbegriff: 10.150.127.2 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [Windows Compliant] kqwrhw.exe O4 - HKLM\..\RunServices: [Windows Compliant] kqwrhw.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C3637815-49F8-430E-BEB2-194319699C3E}: NameServer = 10.150.127.2,10.150.126.2 PC neustarten nun wirst du eine neue Internetverbindung erstellen muessen, denn die jetzige, wurde geloescht. mit allen 4 Scannern arbeiten http://virus-protect.org/multiavtool.html Onlinescans (Viren) http://virus-protect.org/onlinescan.html ------------ das vernuenftigste waere, das System neu aufzusetzen.................. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 14:54
Ehrenmitglied
Beiträge: 29434 |
#7
Nevermind01
loesche: C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\mscornet.exe arbeite das ab und berichte http://virus-protect.org/artikel/bfu/spyaxebfu.html ------------------------------------------------------------------------ C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 18.01.2006 12:41 54.272 ginstall.dll loeschen: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll mit allen 4 Scannern arbeiten http://virus-protect.org/multiavtool.html Onlinescans Kaspersky, etrust, Panda http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 15:02
Ehrenmitglied
Beiträge: 29434 |
#8
ELC
im Log von der datfind kann ich nichts finden und das Log vom HijackThis ist nicht komplett. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.01.2006, 15:17
...neu hier
Beiträge: 2 |
#9
oh man, kann nicht mal die zwei dateien löschen - fehlermeldung. werd wohl die platte neu formatieren und bis dahin so viel wie möglich zu retten versuchen
thxs für die überaus fachkenntlichen ratschläge! gruß, chem |
|
|
||
18.01.2006, 16:17
...neu hier
Beiträge: 5 |
#10
Hi Sabina!
Ich merke du hast richtig Ahnung von diesem fiesen Trojaner! Kann ich dich evtl. mal anrufen, weil ich oft beim Löschen des Trojaners viele Fragen hab und sonst nicht weiterkomme. Das wäre echt superlieb. Danke im Voraus Lg Marph |
|
|
||
18.01.2006, 17:25
Ehrenmitglied
Beiträge: 29434 |
#11
Marph
alles wird hier abgehandelt.... im Thread --> anrufen geht schlecht...nach Lissabon ...stelle alle Fragen hier, ich werde alles beantworten, so gut ich kann. Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.01.2006, 12:02
...neu hier
Themenstarter Beiträge: 3 |
#12
Hi Sabina,
Trojaner ist weg, jedenfalls gibts keine Meldung mehr nach dem Reboot. Vielen Dank dafür. Gibts denn irgendwelche Infos über dieses Ding? Was er so verbricht und wie man ihn sich einfängt? Danke nochmal, Nevermind |
|
|
||
19.01.2006, 12:41
Ehrenmitglied
Beiträge: 29434 |
#13
Nevermind01
das ist der SpyAxe oder SpywareStrike http://virus-protect.org/artikel/spyware/spyaxe.html http://virus-protect.org/artikel/spyware/spywarestrike.html Zitat Nach Beendigung der Installation meldet das Programm seinen Trojaner, der es installiert hat, als "Schadsoftware", allerdings ohne jegliche Details zu melden. Zur Entfernung des Trojaners drängt SpywareStrike oder SpyAxe den Computer-Benutzer zum Kauf des Produkts über die Web-Seite des Herstellers für 49,50 Dollar.er reiht sich ein in die Reihe von gefakten angeblichen "Antivirenscannern", wenn man sie laedt, hat man ein Problem, denn man wird mit PopUps bombardiert und der Aufforderung das Tool zu bezahlen, damit die Belaestigungen enden... sowas nennt man auch Erpressung... Natuerlich muss man letztendlich den PC formatieren...oder man kommt zu uns __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.01.2006, 16:04
...neu hier
Beiträge: 5 |
#14
Hi hier ist mein Editor!
Logfile of HijackThis v1.99.1 Scan saved at 15:59:47, on 19.01.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINNT\system32\wuauclt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {9374125A-621A-4343-88BB-819B1B1E0EF9} - C:\WINNT\system32\jkhob.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/Xh0HJ6NpdxAoVo0n-p0f.chm::/on-line.exe O18 - Filter: text/html - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll O18 - Filter: text/plain - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe Anhang: dirdat.txt Dieser Beitrag wurde am 19.01.2006 um 16:33 Uhr von Marph editiert.
|
|
|
||
19.01.2006, 16:44
Ehrenmitglied
Beiträge: 29434 |
#15
Marph
Laden, scannen Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9374125A-621A-4343-88BB-819B1B1E0EF9} - C:\WINNT\system32\jkhob.dll (file missing) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/Xh0HJ6NpdxAoVo0n-p0f.chm::/on-line.exe O18 - Filter: text/html - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll O18 - Filter: text/plain - {2F5FA8A5-D2A7-49A5-811B-EE6393F18679} - C:\WINNT\system32\jkhob.dll PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken reinkopieren: C:\WINNT\system32\jkhob.dll C:\WINNT\system32\ncompat.tlb C:\WINNT\system32\amcompat.tlb C:\WINNT\system32\mscornet.exe und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" PC neustarten arbeite das bitte ab http://virus-protect.org/artikel/bfu/spyaxebfu.html (eingeschlossen die Online-Virenscanner), falls dort etwas angezeigt wird, kopiere den Scanreport hier ---------------- denke mal ueber den Browser Firefox nach, ist sicherer als der IE http://virus-protect.org/firefox.html die Onlinescans musst du mit dem IE machen, gleiches gilt fuer die WindowsUpdates. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe, wie Schmitti, ebenfalls das Problem mit dem Trojaner. Durch AntiVir gefunden, gelöscht, in Quarantäne geschickt usw., taucht er nach jedem Reboot wieder auf.
Da ich aber die doch recht komplizierte Problemlösung in Schmittis Thread nicht verstanden habe bitte ich hier noch einmal um Hilfe.
Leider kann ich in Schmittis Thread auch nicht antworten, ich denke mal er ist geclosed worden.
Für Hilfe dankbar - Nevermind