Computer infectedThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.02.2006, 18:56
Member
Beiträge: 56 |
||
|
||
05.02.2006, 21:25
Member
Beiträge: 239 |
#2
Hallo,
lade dir HijackThis, stelle es in einen seperaten Ordner und starte das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten. |
|
|
||
05.02.2006, 21:29
Ehrenmitglied
Beiträge: 29434 |
#3
magic2912
Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html dann mache ich dir das fix sauber __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2006, 22:11
Member
Themenstarter Beiträge: 56 |
#4
So, ich hoffe ich den Teil 1 richtig gemacht. Clean up habe ich auch ausgeführt. Zunächst hier Teil 1:
Logfile of HijackThis v1.99.1 Scan saved at 22:04:54, on 05.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\bum274.exe C:\Programme\SpywareStrike\SpywareStrike.exe C:\WINDOWS\system32\lexpps.exe C:\Programme\SpywareStrike\SpywareStrike.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-Online_Software_6\Basis-Software\Basis2\profilemgr.exe C:\PROGRA~1\T-Online\T-Online_Software_6\Notifier\Notifier.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp2558.tmp O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [rscn] C:\WINDOWS\system32\bum274.exe ymmud O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC6C75F-989F-4872-9983-DF85B799FBB4}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8789A12-3370-49EA-BAF7-CAB946A947D3}: NameServer = 85.255.113.124,85.255.112.22 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe und hier Teil 2: 05.02.2006 22:11 5.044 ncompat.tlb 05.02.2006 22:03 20.480 tio132.dll 05.02.2006 22:03 23.552 olemdb32.dll 05.02.2006 22:02 5.120 msvol.tlb 05.02.2006 22:02 21.504 hp2558.tmp 05.02.2006 20:44 20.480 tio741.dll 05.02.2006 20:44 21.504 hpEEB6.tmp 05.02.2006 20:44 21.517 ldED30.tmp 05.02.2006 20:41 35.873 vsconfig.xml 05.02.2006 20:41 1.810 ModemLog_ISDN Mailbox (X.75).txt 05.02.2006 20:41 1.808 ModemLog_ISDN Custom Config.txt 05.02.2006 20:41 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt 05.02.2006 20:41 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt 05.02.2006 20:33 23.040 winresd32.dll 05.02.2006 20:30 20.480 tio273.dll 05.02.2006 20:27 31.744 voi385.exe 05.02.2006 20:24 100 LuResult.txt 05.02.2006 20:07 20.480 tio896.dll 05.02.2006 19:51 20.480 tio506.dll 05.02.2006 18:15 20.480 tio620.dll 05.02.2006 18:14 21.504 hpD298.tmp 05.02.2006 18:09 20.480 tio906.dll 05.02.2006 18:08 21.504 hp356E.tmp 05.02.2006 18:03 20.480 tio14.dll 05.02.2006 17:03 20.480 tio242.dll 05.02.2006 16:36 20.480 tio855.dll 05.02.2006 15:28 20.480 tio814.dll 05.02.2006 15:03 4.286 ot.ico 05.02.2006 15:03 4.286 ts.ico 05.02.2006 15:02 20.480 tio284.dll 05.02.2006 13:23 20.480 tio693.dll 05.02.2006 13:17 102.400 replmap.dll 05.02.2006 13:17 9.196 mssearchnet.exe 05.02.2006 13:17 15.176 nvctrl.exe 05.02.2006 13:15 20.480 tio776.dll 05.02.2006 13:07 0 r.exe 05.02.2006 13:07 0 sp.exe 05.02.2006 13:07 0 di.exe 05.02.2006 13:04 29.696 voi542.exe 05.02.2006 13:03 8.065 private.exe 05.02.2006 13:03 8.065 voi743.exe 05.02.2006 13:03 13.801 mscornet.exe 05.02.2006 13:03 20.480 tio784.dll 05.02.2006 13:03 29.184 bum274.exe 04.02.2006 15:05 2.278 wpa.dbl 22.01.2006 19:06 383.262 perfh009.dat 22.01.2006 19:06 54.412 perfc009.dat 22.01.2006 19:06 394.678 perfh007.dat 22.01.2006 19:06 65.538 perfc007.dat 22.01.2006 19:06 906.240 PerfStringBackup.INI 22.01.2006 02:53 1.100 d3d8caps.dat 22.01.2006 00:49 284.520 FNTCACHE.DAT 22.01.2006 00:47 34.661 $winnt$.inf 22.01.2006 00:43 16.832 amcompat.tlb 22.01.2006 00:43 23.392 nscompat.tlb 22.01.2006 00:42 488 logonui.exe.manifest 22.01.2006 00:42 488 WindowsLogon.manifest 22.01.2006 00:42 749 sapi.cpl.manifest 22.01.2006 00:42 749 wuaucpl.cpl.manifest 22.01.2006 00:42 749 cdplayer.exe.manifest 22.01.2006 00:42 749 ncpa.cpl.manifest 22.01.2006 00:42 749 nwc.cpl.manifest 22.01.2006 00:41 23.572 emptyregdb.dat 22.01.2006 00:41 6.749 mapisvc.inf 22.01.2006 00:26 455 oeminfo.ini 09.01.2006 01:13 147.267 NULL 04.01.2006 19:46 2.836.320 MRT.exe 26.12.2005 00:07 41 AuxDrv32ds_g.ods 26.12.2005 00:07 41 SndDrv32ds_g.ods 12.12.2005 02:42 4.212 zllictbl.dat 10.12.2005 17:59 28.160 groxx.exe 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll 05.02.2006 22:03 16.384 Perflib_Perfdata_170.dat 05.02.2006 22:03 16.384 Perflib_Perfdata_e44.dat 05.02.2006 22:03 31.784 SSLanguage.ini 05.02.2006 21:58 16.384 ~DF113F.tmp 01.02.2006 04:42 125 3FCA41B8.TMP 05.02.2006 22:02 451.430 WindowsUpdate.log 05.02.2006 20:41 0 0.log 05.02.2006 20:41 5.228 ModemLog_RVS ISDN Internet PPP.txt 05.02.2006 20:41 6.104 ModemLog_Bluetooth DUN Modem.txt 05.02.2006 20:41 5.206 ModemLog_RVS ISDN.txt 05.02.2006 20:41 4.246 ModemLog_Agere Systems PCI Soft Modem.txt 05.02.2006 20:41 159 wiadebug.log 05.02.2006 20:40 50 wiaservc.log 05.02.2006 20:40 2.048 bootstat.dat 05.02.2006 20:39 32.588 SchedLgU.Txt 05.02.2006 20:33 327 system.ini 05.02.2006 16:33 29.898 KB905915.log 05.02.2006 16:33 61.169 iis6.log 05.02.2006 16:33 112.251 ntdtcsetup.log 05.02.2006 16:33 386.090 comsetup.log 05.02.2006 16:33 400.197 tsoc.log 05.02.2006 16:33 1.355 imsins.log 05.02.2006 16:33 52.696 ocmsn.log 05.02.2006 16:33 582.095 ocgen.log 05.02.2006 16:33 49.805 msgsocm.log 05.02.2006 16:33 1.109.704 FaxSetup.log 05.02.2006 16:33 498.961 setupapi.log 05.02.2006 16:33 58.934 updspapi.log 05.02.2006 13:05 3.584 uninstDsk.exe 05.02.2006 12:03 7.168 offitems.log 04.02.2006 23:14 81.525 wmsetup.log 04.02.2006 19:50 154 UNO.INI 04.02.2006 19:49 571 lexstat.ini 27.01.2006 20:03 2.424.832 outlook.pst 27.01.2006 20:02 1.926 win.ini 23.01.2006 02:46 1.805 rvsmsp32.INI 22.01.2006 20:42 8.866 extend.dat 22.01.2006 02:18 5.816 COM+.log 22.01.2006 02:06 458 wmsetup10.log 22.01.2006 00:54 825.122 setuplog.txt 22.01.2006 00:47 80.594 setupact.log 22.01.2006 00:43 316.640 WMSysPr9.prx 22.01.2006 00:43 886 OEWABLog.txt 22.01.2006 00:43 4.348 ODBCINST.INI 22.01.2006 00:42 749 WindowsShell.Manifest 22.01.2006 00:41 1.228 DtcInstall.log 22.01.2006 00:41 14.006 sessmgr.setup.log 22.01.2006 00:40 573 cmsetacl.log 22.01.2006 00:34 161 pnplog.txt 22.01.2006 00:30 1.954 ModemLog_RVS ISDN Internet PPP #2.txt 22.01.2006 00:27 110 setuperr.log 22.01.2006 00:25 10.516 regopt.log 22.01.2006 00:13 1.948 UPGRADE.TXT 22.01.2006 00:12 56.717 wsdu.log 22.01.2006 00:10 89 WINNT32.LOG 22.01.2006 00:10 2.418 DHCPUPG.LOG 22.01.2006 00:09 540.862 setupapi.old 10.01.2006 21:21 10.159 KB908519.log 09.01.2006 02:00 15.699 KB912919.log 16.12.2005 02:19 10.996 KB910437.log 12.12.2005 01:38 116 NeroDigital.ini 20.11.2005 02:41 5.366 wininit.ini 19.11.2005 19:14 534 KB905414Uninst.log 17.11.2005 22:05 53.248 UpdtNv28.exe 13.11.2005 16:50 1.073.303.552 MEMORY.DMP 12.11.2005 18:17 7.680 Wolfgang Diehl.pcb 12.11.2005 18:14 6.144 ArtGalry.cag 12.11.2005 15:10 11.934 KB896424.log 09.11.2005 00:24 719 eReg.dat 05.02.2006 22:20 0 sys.txt 05.02.2006 22:19 11.046 system.txt 05.02.2006 22:18 512 systemtemp.txt 05.02.2006 22:18 116.727 system32.txt 05.02.2006 20:40 1.073.270.784 hiberfil.sys 05.02.2006 20:40 1.610.612.736 pagefile.sys 05.02.2006 19:07 11.856 playout.txt 22.01.2006 00:39 222 boot.ini 09.01.2006 01:22 132 TO_InstallLog.txt 11.12.2005 17:24 1.120 INSTALL.LOG So, ich hoffe das habe ich alles richtig gemacht? Dieser Beitrag wurde am 05.02.2006 um 22:21 Uhr von magic2912 editiert.
|
|
|
||
05.02.2006, 22:47
Ehrenmitglied
Beiträge: 29434 |
#5
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpywareStrike in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread ---------------------------------------------------------------------------- ist fuer mich: Zitat O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp2558.tmp % Information related to '85.255.112.0 - 85.255.127.255' inetnum: 85.255.112.0 - 85.255.127.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2006, 23:43
Member
Themenstarter Beiträge: 56 |
#6
So, erledigt. Mich interessiert aber noch, was Du Dir gemerkt hast. Heißt das, dass der Hacker aus der Ukraine Kommt? Und was bezweckt er damit?
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 05.02.2006 23:29:56 for strings: ; 'spywarestrike' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpywareStrike.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5}] @="SpywareStrike" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0] @="SpywareStrike 1.0 Type Library" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\0\win32] @="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1A4C0C9-DBD0-493A-93F8-0B05EDC96224}\1.0\HELPDIR] @="C:\\Programme\\SpywareStrike\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStrike.exe] @="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpywareStrike"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe /h" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpywareStrike] "DisplayName"="SpywareStrike 2.5" "UninstallString"="C:\\Programme\\SpywareStrike\\uninst.exe" "DisplayIcon"="C:\\Programme\\SpywareStrike\\SpywareStrike.exe" "NSIS:StartMenuDir"="SpywareStrike" "URLInfoAbout"="http://www.spywarestrike.com" "Publisher"="SpywareStrike" [HKEY_LOCAL_MACHINE\SOFTWARE\SpywareStrike] [HKEY_USERS\S-1-5-21-49570118-3567465296-3110187448-1008\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpywareStrike] [HKEY_USERS\S-1-5-21-49570118-3567465296-3110187448-1008\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\DOKUME~1\\WOLFGA~1\\LOKALE~1\\Temp\\sa44.exe"="SpywareStrike Software Installer" "C:\\Programme\\SpywareStrike\\spywarestrike.exe"="Anti-spyware software" "C:\\Programme\\SpywareStrike\\uninst.exe"="SpywareStrike Software Installer" "C:\\DOKUME~1\\WOLFGA~1\\LOKALE~1\\Temp\\~nsu.tmp\\Au_.exe"="SpywareStrike Software Installer" "C:\\DOKUME~1\\WOLFGA~1\\LOKALE~1\\Temp\\sa1.exe"="SpywareStrike Software Installer" "C:\\DOKUME~1\\WOLFGA~1\\LOKALE~1\\Temp\\sa18.exe"="SpywareStrike Software Installer" ; End Of The Log... Bei der F-Secure kommt leider keine Log-Datei, die ich hier her kopieren kann. Da steht aber "no hidden item were found". |
|
|
||
06.02.2006, 00:17
Ehrenmitglied
Beiträge: 29434 |
#7
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread dann beginnt die Reinigung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.02.2006, 00:33
Member
Themenstarter Beiträge: 56 |
#8
@Sabina
Tut mir Leid, ich finde keine blbeta.exe ??? Ich habe auf der HP einen Download von Blacklight Beta gemacht und dann war das blbeta zu starten. Dann aber wie oben "no hidden item..." Was mache ich falsch? |
|
|
||
06.02.2006, 14:18
Ehrenmitglied
Beiträge: 29434 |
#9
magic2912
damit wird auch die Internetverbindung ausgeloescht...du musst nach neustart eine neue erstellen öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp2558.tmp O4 - HKLM\..\Run: [rscn] C:\WINDOWS\system32\bum274.exe ymmud O4 - HKLM\..\Run: [SpywareStrike] C:\Programme\SpywareStrike\SpywareStrike.exe /h O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC6C75F-989F-4872-9983-DF85B799FBB4}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8789A12-3370-49EA-BAF7-CAB946A947D3}: NameServer = 85.255.113.124,85.255.112.22 KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\tio132.dll C:\WINDOWS\system32\olemdb32.dll C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp2558.tmp C:\WINDOWS\system32\tio741.dll C:\WINDOWS\system32\hpEEB6.tmp C:\WINDOWS\system32\ldED30.tmp C:\WINDOWS\system32\vsconfig.xml C:\WINDOWS\system32\winresd32.dll C:\WINDOWS\system32\tio273.dll C:\WINDOWS\system32\voi385.exe C:\WINDOWS\system32\LuResult.txt C:\WINDOWS\system32\tio896.dll C:\WINDOWS\system32\tio506.dll C:\WINDOWS\system32\tio620.dll C:\WINDOWS\system32\hpD298.tmp C:\WINDOWS\system32\tio906.dll C:\WINDOWS\system32\hp356E.tmp C:\WINDOWS\system32\tio14.dll C:\WINDOWS\system32\tio242.dll C:\WINDOWS\system32\tio855.dll C:\WINDOWS\system32\tio814.dll C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\tio284.dll C:\WINDOWS\system32\tio693.dll C:\WINDOWS\system32\replmap.dll C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\tio776.dll C:\WINDOWS\system32\r.exe C:\WINDOWS\system32\sp.exe C:\WINDOWS\system32\di.exe C:\WINDOWS\system32\voi542.exe C:\WINDOWS\system32\private.exe C:\WINDOWS\system32\voi743.exe C:\WINDOWS\system32\mscornet.exe C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\sa1.exe C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\sa18.exe C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\SSLanguage.ini C:\WINDOWS\system32\tio784.dll C:\winstall.exe C:\WINDOWS\rvsmsp32.INI C:\WINDOWS\system32\bum274.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell arbeite das ab und berichte http://virus-protect.org/artikel/bfu/spyaxebfu.html + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2006, 23:33
Member
Themenstarter Beiträge: 56 |
#10
Jetzt habe ich den Super-Gau. Ich komme über meinen privaten PC nicht mehr ins Internet und schreibe nunmehr über meinen Büro-PC.
Zunächst startete noch meine Startseite. Aber wenn ich dieses Forum aufrufen wollte ging das nicht mehr. PC heruntergefahren, jetzt komme ich gar nicht mehr herein. Er versucht eine IP-Adresse 89..... aufzurufen. Auf dem Bildschirm zeigt sich daneben "Virus gefunden" und zwar hatte ich am Sonntag das Programm F-Secure Anti-Virus heruntergeladen. Das zeigt Virus.Win32.Sality.k gefunden. Was soll ich jetzt tun???? Please help. |
|
|
||
07.02.2006, 23:39
Ehrenmitglied
Beiträge: 29434 |
#11
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {1EC6C75F-989F-4872-9983-DF85B799FBB4} in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. das machst du auch mit: {75A97163-E50C-45E0-B21D-B530BB2A3D29} {B8789A12-3370-49EA-BAF7-CAB946A947D3} Zitat bedank dich hier:mit HijackThis fixen: O17 - HKLM\System\CCS\Services\Tcpip\..\{1EC6C75F-989F-4872-9983-DF85B799FBB4}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.113.124,85.255.112.22 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8789A12-3370-49EA-BAF7-CAB946A947D3}: NameServer = 85.255.113.124,85.255.112.22 PC neustarten Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2006, 23:49
Member
Themenstarter Beiträge: 56 |
#12
@Sabina
Wie soll ich auf meinem privaten PC etwas herunterladen, wenn ich nicht mehr ins Internet komme? Und was will dieser Ukrainer von mir? |
|
|
||
07.02.2006, 23:55
Ehrenmitglied
Beiträge: 29434 |
#13
je...gute Frage...es ist der Wareout, in Verbindung mit dem Striker...das erste Mal, dass ich es zusammen sehe.
Was er will ? Nun, dass du seine gefakten Antivirentools mit 50 Dollar bezahlst...dann musst du dennoch formatieren ..... fixe erst mal mit HijackThis, was ich geschrieben habe, dann scanne im abgesicherten modus mit dem F-Secure, vielleicht loescht er ja. Dann bringe die Tools, falls du immer noch nicht ins Net kommst per Diskette oder USB-Stick auf deinen Compi.... oder formatiere...ist wahrscheinlich das beste. Ich dachte, ich habe alle malware erwischt...aber wie es scheint, gibt es noch Dateien, die ich nicht sehen konnte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2006, 01:24
Member
Themenstarter Beiträge: 56 |
#14
Habe versucht mit der Killbox
den Virus win32.sality.k in Windows/system32/olemdb32.dll zu löschen. Ist aber immer noch da? Warum? Edit: Ich komme also mit meinem privaten PC unverändert nicht mehr ins Internet. Der PC ist total langsam. Formatieren scheidet auch m.E. aus, weil ich so einen ALDI-Rechner habe und nur Wiederherstellungs-CD, keine komplette Software. Daher habe ich nochmals hijackthis, clean up und datfinbat gemacht und die Ergebnisse auf einen Stick gespeichert. Das Ergebnis poste ich hier: Logfile of HijackThis v1.99.1 Scan saved at 03:12:30, on 08.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\F-Secure Internet Security\backweb\4476822\Program\ServiceWrapper-4476822.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\system32\mssearchnet.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\Programme\AVPersonal\AVSCHED32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Programme\F-Secure Internet Security\FSGUI\help\wwhelp\wwhimpl\common\html\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp721E.tmp O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-Secure Internet Security\backweb\4476822\Program\ServiceWrapper-4476822.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Spam Personal\KAV\KAVSVC.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: SAVScan - Unknown owner - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing) O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 08.02.2006 08:28 399.680 WindowsUpdate.log 08.02.2006 08:21 4.246 ModemLog_Agere Systems PCI Soft Modem.txt 08.02.2006 08:20 5.228 ModemLog_RVS ISDN Internet PPP.txt 08.02.2006 08:20 6.104 ModemLog_Bluetooth DUN Modem.txt 08.02.2006 08:20 5.206 ModemLog_RVS ISDN.txt 08.02.2006 08:20 159 wiadebug.log 08.02.2006 08:20 50 wiaservc.log 08.02.2006 08:19 2.048 bootstat.dat 08.02.2006 08:18 32.588 SchedLgU.Txt 08.02.2006 08:16 63.109 iis6.log 08.02.2006 08:16 390.690 comsetup.log 08.02.2006 08:16 408.045 tsoc.log 08.02.2006 08:16 115.439 ntdtcsetup.log 08.02.2006 08:16 53.634 ocmsn.log 08.02.2006 08:16 1.891 imsins.log 08.02.2006 08:16 593.553 ocgen.log 08.02.2006 08:16 50.763 msgsocm.log 08.02.2006 08:16 1.125.114 FaxSetup.log 08.02.2006 08:16 506.300 setupapi.log 08.02.2006 08:11 1.891 imsins.BAK 08.02.2006 02:39 0 0.log 08.02.2006 00:49 326 system.ini 07.02.2006 22:06 26 Lic.xxx 07.02.2006 21:02 1.073.303.552 MEMORY.DMP 06.02.2006 01:10 3.582 fsiuupd.log 06.02.2006 00:55 5.228.259 FSISU.log 06.02.2006 00:55 310.563 RunSetup.log 06.02.2006 00:55 2.966.126 FSSFM.log 06.02.2006 00:55 150.457 FSPROD.log 06.02.2006 00:55 952.903 FSSETUP.log 06.02.2006 00:55 4.202 NEWSINST.LOG 06.02.2006 00:55 17.047 fsmainst.log 06.02.2006 00:55 21.615 FSASWSIN.log 06.02.2006 00:55 2.824 fsavunin.log 06.02.2006 00:55 7.980 FSAVCSIN.LOG 06.02.2006 00:55 5.138 FSSYSUPD.LOG 06.02.2006 00:55 14.438 HELPINST.LOG 06.02.2006 00:55 13.600 FSASWINS.LOG 06.02.2006 00:55 9.398 FSGUIINS.LOG 06.02.2006 00:55 2.032 fsdginst.log 06.02.2006 00:55 17.750 fwesinst.log 06.02.2006 00:55 36.146 fstnbins.LOG 06.02.2006 00:54 7.692 fsrif.log 06.02.2006 00:54 35.789 FSAVINST.LOG 06.02.2006 00:54 2.185 DAASINST.LOG 06.02.2006 00:54 83.680 FSDEPH.log 06.02.2006 00:54 10.900 FSSGSUP.LOG 06.02.2006 00:53 386.527 fssgpex.LOG 06.02.2006 00:53 4.720 fsbwinst.log 06.02.2006 00:53 2.438 FSPRODRM.LOG 05.02.2006 23:23 10.240 offitems.log 05.02.2006 22:51 154 UNO.INI 05.02.2006 16:33 29.898 KB905915.log 05.02.2006 16:33 58.934 updspapi.log 04.02.2006 23:14 81.525 wmsetup.log 04.02.2006 19:49 571 lexstat.ini 27.01.2006 20:03 2.424.832 outlook.pst 27.01.2006 20:02 1.926 win.ini 22.01.2006 20:42 8.866 extend.dat 22.01.2006 02:18 5.816 COM+.log 22.01.2006 02:06 458 wmsetup10.log 22.01.2006 00:54 825.122 setuplog.txt 22.01.2006 00:47 80.594 setupact.log 22.01.2006 00:43 316.640 WMSysPr9.prx 22.01.2006 00:43 886 OEWABLog.txt 22.01.2006 00:43 4.348 ODBCINST.INI 22.01.2006 00:42 749 WindowsShell.Manifest 22.01.2006 00:41 1.228 DtcInstall.log 22.01.2006 00:41 14.006 sessmgr.setup.log 22.01.2006 00:40 573 cmsetacl.log 22.01.2006 00:34 161 pnplog.txt 22.01.2006 00:30 1.954 ModemLog_RVS ISDN Internet PPP #2.txt 22.01.2006 00:27 110 setuperr.log 22.01.2006 00:25 10.516 regopt.log 22.01.2006 00:13 1.948 UPGRADE.TXT 22.01.2006 00:12 56.717 wsdu.log 22.01.2006 00:10 89 WINNT32.LOG 22.01.2006 00:10 2.418 DHCPUPG.LOG 22.01.2006 00:09 540.862 setupapi.old 10.01.2006 21:21 10.159 KB908519.log 09.01.2006 02:00 15.699 KB912919.log 16.12.2005 02:19 10.996 KB910437.log 12.12.2005 01:38 116 NeroDigital.ini 20.11.2005 02:41 5.366 wininit.ini 19.11.2005 19:14 534 KB905414Uninst.log 17.11.2005 22:05 53.248 UpdtNv28.exe 12.11.2005 18:17 7.680 Wolfgang Diehl.pcb 12.11.2005 18:14 6.144 ArtGalry.cag 12.11.2005 15:10 11.934 KB896424.log Verzeichnis von C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp 08.02.2006 08:24 16.384 Perflib_Perfdata_a08.dat 08.02.2006 07:52 0 tmpFA0.tmp 08.02.2006 07:09 0 F9A57C.dmp 08.02.2006 03:34 78.336 fna10924.SYS 08.02.2006 03:33 0 fna10924.ini 08.02.2006 03:22 0 sc6_ivw_hits.htm 28.01.2005 17:10 73.848 delus.exe Verzeichnis von C:\ 08.02.2006 08:34 0 sys.txt 08.02.2006 08:34 12.321 system.txt 08.02.2006 08:34 596 systemtemp.txt 08.02.2006 08:33 115.709 system32.txt 08.02.2006 08:19 1.073.270.784 hiberfil.sys 08.02.2006 08:19 1.610.612.736 pagefile.sys 08.02.2006 07:22 156 playout.txt 22.01.2006 00:39 222 boot.ini 09.01.2006 01:22 132 TO_InstallLog.txt 11.12.2005 17:24 1.120 INSTALL.LOG Verzeichnis von C:\WINDOWS\system32 08.02.2006 08:27 18.662 olemdb32.dl_ 08.02.2006 08:21 5.276 ps.a3d 08.02.2006 08:20 1.810 ModemLog_ISDN Mailbox (X.75).txt 08.02.2006 08:20 1.808 ModemLog_ISDN Custom Config.txt 08.02.2006 08:20 1.820 ModemLog_ISDN RAS (PPP over ISDN).txt 08.02.2006 08:20 1.830 ModemLog_ISDN Internet (PPP over ISDN).txt 08.02.2006 08:17 23.552 olemdb32.dll 08.02.2006 03:07 164 ncompat.tlb 08.02.2006 02:38 5.120 msvol.tlb 08.02.2006 02:38 21.504 hp721E.tmp 08.02.2006 02:08 20.480 tio549.dll 08.02.2006 01:41 20.480 tio303.dll 08.02.2006 01:23 20.480 tio998.dll 08.02.2006 01:13 20.480 tio183.dll 08.02.2006 00:48 11.421 VOI836.0XE 08.02.2006 00:46 20.480 tio202.dll 08.02.2006 00:18 20.480 tio847.dll 08.02.2006 00:08 20.480 tio592.dll 07.02.2006 23:51 20.480 tio486.dll 07.02.2006 22:50 20.480 tio307.dll 07.02.2006 22:34 20.480 tio651.dll 07.02.2006 22:14 20.480 tio181.dll 07.02.2006 21:05 20.480 tio59.dll 07.02.2006 19:29 20.480 tio79.dll 07.02.2006 19:26 283.720 FNTCACHE.DAT 07.02.2006 08:24 20.480 tio609.dll 07.02.2006 08:23 21.517 ld774E.tmp 07.02.2006 08:09 20.480 tio528.dll 07.02.2006 08:02 9.200 mssearchnet.exe 07.02.2006 08:02 57.395 voi724.exe 07.02.2006 08:01 35.873 vsconfig.xml 07.02.2006 08:01 20.480 tio335.dll 07.02.2006 07:58 2.278 wpa.dbl 06.02.2006 03:31 20.480 tio641.dll 06.02.2006 03:27 22.016 hpFB65.tmp 06.02.2006 03:27 22.016 hpF2CA.tmp 06.02.2006 03:27 22.016 hpEA5E.tmp 06.02.2006 03:27 22.016 hpE201.tmp 06.02.2006 02:13 4.286 ot.ico 06.02.2006 02:13 4.286 ts.ico 06.02.2006 02:11 20.480 tio724.dll 06.02.2006 01:16 20.480 tio255.dll 06.02.2006 01:08 20.480 tio794.dll 05.02.2006 20:44 20.480 tio741.dll 05.02.2006 20:30 20.480 tio273.dll 05.02.2006 20:27 31.744 voi385.exe 05.02.2006 20:24 100 LuResult.txt 05.02.2006 20:07 20.480 tio896.dll 05.02.2006 19:51 20.480 tio506.dll 05.02.2006 18:15 20.480 tio620.dll 05.02.2006 18:14 21.504 hpD298.tmp 05.02.2006 18:08 21.504 hp356E.tmp 05.02.2006 17:03 20.480 tio242.dll 05.02.2006 16:36 20.480 tio855.dll 05.02.2006 13:15 20.480 tio776.dll 05.02.2006 13:07 0 r.exe 05.02.2006 13:07 0 sp.exe 05.02.2006 13:03 29.184 bum274.exe 22.01.2006 19:06 383.262 perfh009.dat 22.01.2006 19:06 54.412 perfc009.dat 22.01.2006 19:06 394.678 perfh007.dat 22.01.2006 19:06 65.538 perfc007.dat 22.01.2006 19:06 906.240 PerfStringBackup.INI 22.01.2006 02:53 1.100 d3d8caps.dat 22.01.2006 00:47 34.661 $winnt$.inf 22.01.2006 00:43 23.392 nscompat.tlb 22.01.2006 00:43 16.832 amcompat.tlb 22.01.2006 00:42 488 logonui.exe.manifest 22.01.2006 00:42 488 WindowsLogon.manifest 22.01.2006 00:42 749 sapi.cpl.manifest 22.01.2006 00:42 749 cdplayer.exe.manifest 22.01.2006 00:42 749 wuaucpl.cpl.manifest 22.01.2006 00:42 749 ncpa.cpl.manifest 22.01.2006 00:42 749 nwc.cpl.manifest 22.01.2006 00:41 23.572 emptyregdb.dat 22.01.2006 00:41 6.749 mapisvc.inf 22.01.2006 00:26 455 oeminfo.ini 09.01.2006 01:13 147.267 NULL 04.01.2006 19:46 2.836.320 MRT.exe 26.12.2005 00:07 41 AuxDrv32ds_g.ods 26.12.2005 00:07 41 SndDrv32ds_g.ods 12.12.2005 02:42 4.212 zllictbl.dat 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 15.11.2005 00:34 54.960 vsutil_loc0407.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll Ich hoffe, da ist jetzt noch etwas zu retten. Kilbox etc. habe ich noch auf dem PC gespeichert und muß es nicht mehr herunterladen, was ja auch nicht geht. Dieser Beitrag wurde am 08.02.2006 um 10:13 Uhr von magic2912 editiert.
|
|
|
||
08.02.2006, 11:54
Ehrenmitglied
Beiträge: 29434 |
#15
mit hijackThis fixen:
O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp721E.tmp F2 - REG:system.ini: UserInit=userinit.exe O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll Killbox C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\tmpFA0.tmp C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\F9A57C.dmp C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\fna10924.SYS C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\fna10924.ini C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\sc6_ivw_hits.htm C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\delus.exe C:\WINDOWS\system32\olemdb32.dl_ C:\WINDOWS\system32\ps.a3d C:\WINDOWS\system32\olemdb32.dll C:\WINDOWS\system32\ncompat.tlb C:\WINDOWS\system32\msvol.tlb C:\WINDOWS\system32\hp721E.tmp C:\WINDOWS\system32\tio549.dll C:\WINDOWS\system32\tio303.dll C:\WINDOWS\system32\tio998.dll C:\WINDOWS\system32\tio183.dll C:\WINDOWS\system32\VOI836.0XE C:\WINDOWS\system32\tio202.dll C:\WINDOWS\system32\tio847.dll C:\WINDOWS\system32\tio592.dll C:\WINDOWS\system32\tio486.dll C:\WINDOWS\system32\tio307.dll C:\WINDOWS\system32\tio651.dll C:\WINDOWS\system32\tio181.dll C:\WINDOWS\system32\tio59.dll C:\WINDOWS\system32\tio79.dll C:\WINDOWS\system32\tio609.dll C:\WINDOWS\system32\ld774E.tmp C:\WINDOWS\system32\tio528.dll C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\voi724.exe C:\WINDOWS\system32\vsconfig.xml C:\WINDOWS\system32\tio335.dll C:\WINDOWS\system32\tio641.dll C:\WINDOWS\system32\hpFB65.tmp C:\WINDOWS\system32\hpF2CA.tmp C:\WINDOWS\system32\hpEA5E.tmp C:\WINDOWS\system32\hpE201.tmp C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\tio724.dll C:\WINDOWS\system32\tio255.dll C:\WINDOWS\system32\tio794.dll C:\WINDOWS\system32\tio741.dll C:\WINDOWS\system32\tio273.dll C:\WINDOWS\system32\voi385.exe C:\WINDOWS\system32\LuResult.txt C:\WINDOWS\system32\tio896.dll C:\WINDOWS\system32\tio506.dll C:\WINDOWS\system32\tio620.dll C:\WINDOWS\system32\hpD298.tmp C:\WINDOWS\system32\hp356E.tmp C:\WINDOWS\system32\tio242.dll C:\WINDOWS\system32\tio855.dll C:\WINDOWS\system32\tio776.dll C:\WINDOWS\system32\r.exe C:\WINDOWS\system32\sp.exe C:\WINDOWS\SYSTEM32\lanH32.dll C:\WINDOWS\system32\bum274.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell ------------------------------------------------------------------------- BFU (Brute Force Uninstaller) http://www.merijn.org/files/bfu.zip 2.) spyaxe.zip http://virus-protect.org/artikel/bfu/spyaxe.zip --> entzippe--> Datei spyaxe punisher.zip (entpacken) http://virus-protect.org/artikel/bfu/punisher.zip entzippe--> Datei punisher.bfu ------------------------------------------------------------------------- 3.) CleanUp --> http://virus-protect.org/cleanup.html 4.) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 ----------------------------------------------------------------------- Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt) * öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) * Öffne den Brute Force Uninstaller * klicke auf --> --> und suche auf dem Desktop in der Datei spyaxe die spyaxe.bfu --> öffnen * show log after script ends (anhaken) * Execute klicken danch das gleiche mit punisher.bfu ------------------------------------------------------------------ O20 - Winlogon Notify: lanH32 - C:\WINDOWS\SYSTEM32\lanH32.dll scheint ein Haxdoor zu sein, hat also auch eine sys-Datei erstellt + einen Dienst. Du solltest vielleicht wirklich dein System mit der CD auf den Auslieferungszustand zuruecksetzen.............. ?????????? 08.02.2006 03:34 78.336 fna10924.SYS 08.02.2006 03:33 0 fna10924.ini 08.02.2006 03:22 0 sc6_ivw_hits.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe mehr wohl gleich mehrere Probleme auf den PC geholt, die sich nicht mehr löschen lassen.
Nach dem Starten erscheint "Your Computer ist infected". Drückt man darauf gelangt man zu einer HP, wo sich Löschprogramme herunterladen lassen.
Daneben ist plötzlich eine Datei "winstall.exe" auf c: vorhanden, die sich nicht löschen läßt und ein Programm "Spywarestrike" auf dem PC geladen; woher auch immer.
Wie bekomme ich denn das alles wieder weg, oder hängt dies zusammen?