logfile hjt wegen viren, wichtig

Thema ist geschlossen!

03.02.2006, 19:44

Greische

...neu hier

Beiträge: 3

#1 ich hab mir so ein dummes programm eingefangen mssearch.exe
kann mal jemand mein logfile anschaun und mir weiterhelfen.
ich versteh nicht allzuviel davon also bitte helft mir!

Logfile of HijackThis v1.99.1
Scan saved at 19:32:31, on 03.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\Dokumente und Einstellungen\Philipp\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp3683.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R3JlaW5lcg\command.exe
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINDOWS\msnsrv.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Dieser Beitrag wurde am 03.02.2006 um 20:15 Uhr von Greische editiert.

04.02.2006, 01:06

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Greische

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

04.02.2006, 13:04

Greische

...neu hier

Themenstarter

Beiträge: 3

#3 danke dass du dir zeit nimmst.
Ich hoff dass ist so richtig.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D868-9411

Verzeichnis von C:\WINDOWS\system32

03.02.2006 21:52 687.592 atmtd.dll._
03.02.2006 21:52 687.592 atmtd.dll
03.02.2006 21:32 21.513 ld43A0.tmp
03.02.2006 21:23 5 AuxDrv32ds_g.ods
03.02.2006 21:23 5 SndDrv32ds_g.ods
03.02.2006 20:21 2.158 tmmute.ini
03.02.2006 17:45 0 TFTP2460
03.02.2006 17:44 90.624 xlsgppvf.exe
03.02.2006 17:43 25.065 wmpscheme.xml
03.02.2006 17:43 73 i
30.01.2006 11:19 2.206 wpa.dbl
23.01.2006 16:03 138.056 FNTCACHE.DAT
17.01.2006 18:36 52.764 perfc009.dat
17.01.2006 18:36 380.350 perfh009.dat
17.01.2006 18:36 391.000 perfh007.dat
17.01.2006 18:36 63.580 perfc007.dat
17.01.2006 18:36 897.954 PerfStringBackup.INI
17.01.2006 18:17 22 ati64hlp.stb
17.01.2006 18:03 302 $winnt$.inf

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D868-9411

Verzeichnis von C:\DOKUME~1\Philipp\LOKALE~1\Temp

04.02.2006 12:55 16.384 ~DF57BB.tmp
04.02.2006 12:54 534 pcf2.tmp
04.02.2006 11:38 19.224 hpodvd09.log
04.02.2006 11:38 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}12558.html
04.02.2006 10:01 16.384 ~DF46C4.tmp
04.02.2006 10:01 16.384 ~DF3D80.tmp
04.02.2006 09:20 72.192 ~e5.0001
03.02.2006 21:53 16.384 ~DF1A48.tmp
03.02.2006 21:52 534 pcf1.tmp
03.02.2006 20:55 16.384 ~DF6045.tmp
03.02.2006 20:48 16.384 ~DF71C4.tmp
11 Datei(en) 191.771 Bytes
0 Verzeichnis(se), 21.555.130.368 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D868-9411

Verzeichnis von C:\WINDOWS

04.02.2006 12:54 0 0.log
04.02.2006 12:54 1.366.775 WindowsUpdate.log
04.02.2006 12:54 159 wiadebug.log
04.02.2006 12:54 50 wiaservc.log
04.02.2006 12:54 2.048 bootstat.dat
04.02.2006 11:38 14.080 SchedLgU.Txt
04.02.2006 10:02 578 win.ini
04.02.2006 10:02 227 system.ini
04.02.2006 09:11 336.538 ntbtlog.txt
03.02.2006 20:41 183.149 setupact.log
03.02.2006 18:46 418.387 setupapi.log
03.02.2006 18:42 367.183 DirectX.log
03.02.2006 17:57 0 gimmygames1.dat
03.02.2006 17:57 0 winsysupd51.dat
03.02.2006 17:57 0 myupdates1.dat
03.02.2006 17:57 52.480 myupdates.exe
03.02.2006 17:57 69.632 winsysban5.exe
03.02.2006 17:57 43 drsmartload2.dat
03.02.2006 17:56 40.960 winsysupd5.exe
03.02.2006 17:43 1.519 OEWABLog.txt
03.02.2006 17:43 199 ubber60.ini
03.02.2006 17:43 70.910 eeedo.exe
03.02.2006 17:43 6 check012906.ini
03.02.2006 17:43 20.480 surv3.exe
03.02.2006 17:43 2 tempf.txt
03.02.2006 17:43 54.844 winsys.exe
03.02.2006 14:16 1.575 BF2 + BF2SF CD Key Repair Setup Log.txt
31.01.2006 19:59 107.132 UninstallFirefox.exe
31.01.2006 19:58 2.997 mozver.dat
28.01.2006 17:21 9.808 EventSystem.log
27.01.2006 17:22 69.632 eee2.exe
22.01.2006 17:45 104.249 hpoins04.dat
22.01.2006 17:44 59.974 dasetup.log
22.01.2006 17:44 4.161 ODBCINST.INI
22.01.2006 17:31 480 ODBC.INI
22.01.2006 17:24 17.718 comsetup.log
22.01.2006 17:24 1.684 iis6.log
22.01.2006 17:24 8.970 ntdtcsetup.log
22.01.2006 17:24 15.869 KB822603.log
22.01.2006 17:24 10.693 tsoc.log
22.01.2006 17:24 1.374 imsins.log
22.01.2006 17:24 1.277 ocmsn.log
22.01.2006 17:24 18.543 ocgen.log
22.01.2006 17:24 1.177 msgsocm.log
22.01.2006 17:24 17.753 FaxSetup.log
22.01.2006 17:23 3.922 Windows Update.log
20.01.2006 16:02 0 nsreg.dat
20.01.2006 13:33 773 nsw.log
18.01.2006 09:31 757.917 setuplog.txt
17.01.2006 18:15 1.442 COM+.log
17.01.2006 18:12 1.446 ATIWDM.LOG
17.01.2006 18:10 81.920 bwUnin-6.1.4.61-8876480L.exe
17.01.2006 18:03 8.192 REGLOCS.OLD
17.01.2006 18:03 4.512 imsins.BAK
17.01.2006 18:01 0 control.ini
17.01.2006 18:01 299.552 WMSysPrx.prx
17.01.2006 18:00 749 WindowsShell.Manifest
17.01.2006 17:58 36 vb.ini
17.01.2006 17:58 37 vbaddin.ini
17.01.2006 17:58 128 DtcInstall.log
17.01.2006 17:58 1.060 sessmgr.setup.log
17.01.2006 17:56 0 Sti_Trace.log
17.01.2006 17:53 1.348 regopt.log
17.01.2006 17:53 0 setuperr.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D868-9411

Verzeichnis von C:\

04.02.2006 12:59 0 sys.txt
04.02.2006 12:58 5.380 system.txt
04.02.2006 12:58 825 systemtemp.txt
04.02.2006 12:57 89.356 system32.txt
04.02.2006 12:54 805.306.368 pagefile.sys
04.02.2006 10:02 194 boot.ini
03.02.2006 20:40 3.434 smitfiles.txt
03.02.2006 18:47 182.187 sysall3.exe
03.02.2006 18:46 45.056 drsmartload1.exe
17.01.2006 18:01 0 AUTOEXEC.BAT
17.01.2006 18:01 0 MSDOS.SYS
17.01.2006 18:01 0 CONFIG.SYS
17.01.2006 18:01 0 IO.SYS

04.02.2006, 16:17

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Greische

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp3683.tmp
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R3JlaW5lcg\command.exe
O23 - Service: Msn Service (MSNSVC) - Unknown owner - C:\WINDOWS\msnsrv.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\ld43A0.tmp
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\hp3683.tmp
C:\WINDOWS\system32\AuxDrv32ds_g.ods
C:\WINDOWS\system32\SndDrv32ds_g.ods
C:\WINDOWS\system32\tmmute.ini
C:\WINDOWS\system32\TFTP2460
C:\WINDOWS\system32\xlsgppvf.exe
C:\WINDOWS\system32\wmpscheme.xml
C:\WINDOWS\system32\i

C:\WINDOWS\gimmygames1.dat
C:\WINDOWS\winsysupd51.dat
C:\WINDOWS\myupdates1.dat
C:\WINDOWS\myupdates.exe
C:\WINDOWS\winsysban5.exe
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\winsysupd5.exe
C:\WINDOWS\OEWABLog.txt
C:\WINDOWS\ubber60.ini
C:\WINDOWS\eeedo.exe
C:\WINDOWS\check012906.ini
C:\WINDOWS\surv3.exe
C:\WINDOWS\tempf.txt
C:\WINDOWS\winsys.exe
C:\WINDOWS\eee2.exe

C:\sysall3.exe
C:\drsmartload1.exe
C:\WINDOWS\R3JlaW5lcg\command.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

loesche:
C:\WINDOWS\R3JlaW5lcg
C:\Programme\Network Monitor

---------------------------------------------------------------------------

abarbeiten
http://virus-protect.org/artikel/bfu/spyaxebfu.html

-----------------------------------------------------------------

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Msn Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab

in: "Enter search strings" (reinschreiben oder reinkopieren)

Network Monitor

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab

Command Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab
__________
MfG Sabina

rund um die PC-Sicherheit

18.02.2006, 18:06

Greische

...neu hier

Themenstarter

Beiträge: 3

#5 Sorry aber mir reichts!!!!!!
Danke für deine Bemühungen aber jetzt ist mein Pc so voller viren dass auch HJT nix mehr hilft. Sasser und Co. lassen sich einfach nicht löschen.
Ich formatier jetzt meinem Pc neu und dann ist dass alles hoffentlich wieder in Ordnung.
Danke nochmals.

mfg greische

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

» Logfile wegen nicht entfernbarem Trojaner
» Hier meine Logfile -wegen Biz-Startseite
»
»
»

Seite(n): 1