Internet sehr langsam und lsass.exe in Prozesse |
||
---|---|---|
#0
| ||
10.02.2006, 16:54
Member
Beiträge: 12 |
||
|
||
11.02.2006, 01:54
Ehrenmitglied
Beiträge: 29434 |
#2
MichBeck10
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2006, 08:13
Member
Themenstarter Beiträge: 12 |
#3
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5804-FC9A Verzeichnis von C:\WINDOWS\system32 11.02.2006 08:01 4.286 kill all spyware1234.ico 11.02.2006 08:01 3.262 websearch1.ico 11.02.2006 08:01 2.238 doll612345678910111213141516171819202122.ico 11.02.2006 08:01 1.078 phone12345678910111213.ico 11.02.2006 08:01 2.238 doll10123456789101112131415161718192021222324252627282930.ico 10.02.2006 14:43 24.626 scrrnde.dll 09.02.2006 17:53 2.422 wpa.dbl 08.02.2006 15:29 354 lsprst7.tgz 08.02.2006 15:29 16 servdat.slm 08.02.2006 15:29 340 lsprst7.dll 08.02.2006 15:28 73 ssprs.dll 08.02.2006 15:28 87 ssprs.tgz 02.02.2006 09:45 121.336 FNTCACHE.DAT 01.02.2006 17:20 1.025 sysprs7.dll 01.02.2006 17:20 1.025 sysprs7.tgz 01.02.2006 17:20 1.025 clauth2.dll 01.02.2006 17:20 1.025 clauth1.dll 29.01.2006 19:42 28.235 acleditd.dll 05.01.2006 04:41 2.836.320 MRT.exe 29.12.2005 03:54 280.064 gdi32.dll 01.12.2005 04:31 1.492.480 shdocvw.dll 24.11.2005 00:58 1.022.464 browseui.dll 24.11.2005 00:58 3.013.632 mshtml.dll 05.11.2005 04:16 606.208 urlmon.dll 05.11.2005 04:16 1.056.256 danim.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5804-FC9A Verzeichnis von C:\DOKUME~1\MichBeck\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5804-FC9A Verzeichnis von C:\WINDOWS 11.02.2006 08:08 0 0.log 11.02.2006 08:08 1.387.990 WindowsUpdate.log 11.02.2006 08:08 237 wiadebug.log 11.02.2006 08:08 50 wiaservc.log 11.02.2006 08:07 2.048 bootstat.dat 11.02.2006 08:06 32.186 SchedLgU.Txt 10.02.2006 22:00 132 winamp.ini 10.02.2006 12:40 40.334 setupapi.log 04.02.2006 20:21 12.261 wmsetup.log 25.01.2006 14:36 150 setupact.log 24.01.2006 15:28 668 win.ini 24.01.2006 15:28 253 system.ini 11.01.2006 12:15 33.576 iis6.log 11.01.2006 12:15 1.374 imsins.log 11.01.2006 12:15 10.329 comsetup.log 11.01.2006 12:15 6.258 ntdtcsetup.log 11.01.2006 12:15 14.105 tsoc.log 11.01.2006 12:15 1.555 tabletoc.log 11.01.2006 12:15 1.710 ocmsn.log 11.01.2006 12:15 10.196 KB908519.log 11.01.2006 12:15 2.125 MedCtrOC.log 11.01.2006 12:15 14.580 ocgen.log 11.01.2006 12:15 5.415 netfxocm.log 11.01.2006 12:15 1.515 msgsocm.log 11.01.2006 12:15 30.914 FaxSetup.log 11.01.2006 12:15 9.458 msmqinst.log 06.01.2006 15:02 1.355 imsins.BAK 06.01.2006 15:02 11.068 KB912919.log 06.01.2006 15:02 3.652 updspapi.log 15.12.2005 10:24 10.399 KB910437.log 15.12.2005 10:24 16.314 KB905915.log 03.12.2005 22:38 6.494 DirectX.log 30.11.2005 15:39 219 cdplayer.ini 09.11.2005 08:15 11.822 KB896424.log 09.11.2005 08:15 0 setuperr.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5804-FC9A Verzeichnis von C:\ 11.02.2006 08:16 0 sys.txt 11.02.2006 08:15 6.646 system.txt 11.02.2006 08:15 136 systemtemp.txt 11.02.2006 08:11 105.792 system32.txt 11.02.2006 08:07 402.653.184 pagefile.sys Dieser Beitrag wurde am 11.02.2006 um 08:19 Uhr von MichBeck10 editiert.
|
|
|
||
11.02.2006, 09:50
Ehrenmitglied
Beiträge: 29434 |
#4
Spss License Manager .. Kennst du diese Software/Dienst ?
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2006, 13:04
Member
Themenstarter Beiträge: 12 |
#5
SPSS License Manager geht in Ordnung... brauchst du die Registry Search trotzdem?
|
|
|
||
11.02.2006, 20:13
Ehrenmitglied
Beiträge: 29434 |
#6
MichBeck10
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ......... C:\WINDOWS\system32\kill all spyware1234.ico C:\WINDOWS\system32\websearch1.ico C:\WINDOWS\system32\doll612345678910111213141516171819202122.ico C:\WINDOWS\system32\phone12345678910111213.ico C:\WINDOWS\system32\doll10123456789101112131415161718192021222324252627282930.ico C:\WINDOWS\system32\scrrnde.dll C:\WINDOWS\system32\gpstool.dll C:\WINDOWS\system32\acleditd.dll PC neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.gophersearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gophersearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gophersearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/ O2 - BHO: ohb - {22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} - C:\WINDOWS\system32\gpstool.dll O2 - BHO: (no name) - {8D8A99E4-81AE-45A0-903D-7C01869048F9} - C:\WINDOWS\system32\acleditd.dll O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Loesche: C:\Programme\PartyPoker #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein scanne mit ewido und kopiere den sanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2006, 23:19
Member
Themenstarter Beiträge: 12 |
#7
---------------------------------------------------------
ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 23:19:08, 11.02.2006 + Report-Checksumme: 6BCEFF91 + Scanergebnis: HKLM\SOFTWARE\Classes\dsktrf.amo -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.amo\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.amo\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.amo.1 -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.iiittt -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.iiittt\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.iiittt\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.iiittt.1 -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.momo -> Adware.Begin2Search : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.momo\CLSID -> Adware.Begin2Search : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.momo\CurVer -> Adware.Begin2Search : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.momo.1 -> Adware.Begin2Search : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.ohb -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.ohb\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.ohb\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\dsktrf.ohb.1 -> Adware.DesktopTraffic : Gesäubert mit Backup HKU\S-1-5-21-854245398-1844823847-725345543-1003\Software\Microsoft\Windows\ CurrentVersion\Ext\Stats\{22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} -> Adware.Begin2search : Gesäubert mit Backup C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@revenue[2].txt -> TrackingCookie.Revenue : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-854245398-1844823847-725345543-1003\Dc10.dll -> Adware.Beginto : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-854245398-1844823847-725345543-1003\Dc7.dll -> Downloader.Small.cgu : Gesäubert mit Backup ::Report Ende |
|
|
||
12.02.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#8
MichBeck10
nun mache noch einen Onlinescan mit panda ... + berichte http://virus-protect.org/onlinescan.html + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.02.2006, 15:12
Member
Themenstarter Beiträge: 12 |
#9
So, erstmal der Panda:
Incident Status Location Spyware:spyware/betterinet Not disinfected C:\WINDOWS\INF\biini.inf Adware:adware/ncase Not disinfected C:\WINDOWS\didduid.ini Spyware:spyware/altnet Not disinfected C:\PROGRAM FILES\Altnet Adware:adware/gator Not disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN\PROGRAMME\GAIN Publishing Spyware:spyware/bridge Not disinfected Windows Registry Potentially unwanted tool:application/zango Not disinfected HKEY_CLASSES_ROOT\CLSID\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} Adware:adware/dyfuca Not disinfected Windows Registry Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\Interface\{0494D0D4-F8E0-41AD-92A3-14154ECE70AC} Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@atdmt[1].txt Spyware:Cookie/Azjmp Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@azjmp[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@doubleclick[1].txt Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@fe.lea.lycos[1].txt Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@z1.adserver[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@atdmt[1].txt Spyware:Cookie/Azjmp Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@azjmp[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@doubleclick[1].txt Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@fe.lea.lycos[1].txt Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@z1.adserver[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Meine Downloads\Winfixer Problem\VundoFix\process.exe Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\inf\bi.inf Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\inf\biini.inf Dann der Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 15:09:20, on 12.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\STOPzilla!\szntsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\STOPzilla!\Stopzilla.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\DAEMON Tools\daemon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\spss_lmd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Meine Downloads\hijackthis_1991\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.oldorf.swh.mhn.de:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03c4392c2e4501428516/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100204121265 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {DAB941D8-BC94-4819-AB4D-5598C65FA3FE} - http://gpstool.globaladserver.com/v30/gpstool.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{43D13F55-143D-43D7-8D8F-18A4F263D780}: NameServer = 10.150.128.2 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe bei Hijackthis is zudem noch ne Menge so Kodak-Zeug drin - da war mal ne Software für ne Kamera, die ich aber schon lang deinstalliert, gelöscht und eigentlich auch aus der reg entfernt hab... |
|
|
||
12.02.2006, 17:01
Ehrenmitglied
Beiträge: 29434 |
#10
loesche:
C:\WINDOWS\INF\biini.inf C:\WINDOWS\INF C:\WINDOWS\didduid.ini C:\PROGRAM FILES\Altnet C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN\PROGRAMME\GAIN Publishing --------------------------------------------------------------------------- Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken Zitat REGEDIT4 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.02.2006, 18:27
Member
Themenstarter Beiträge: 12 |
#11
C:\WINDOWS\INF\biini.inf
C:\WINDOWS\INF Die beiden kann ich nicht löschen (Ordner hat so ne verblasste Farbe und kann nicht gelöscht werden, weil sie verwendet wird...) C:\WINDOWS\didduid.ini kann ich nicht finden! |
|
|
||
12.02.2006, 23:06
Ehrenmitglied
Beiträge: 29434 |
#12
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\INF\biini.inf C:\WINDOWS\INF C:\WINDOWS\didduid.ini PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.02.2006, 09:21
Member
Themenstarter Beiträge: 12 |
#13
So, ich hab die drei Dateien/ Ordner mit Killbox gelöscht und die fixme im abgesicherten Modus doopelgelickt, also zur Registry hinzugefügt!
Und nü? (hab ich eigentlich schon mal erwähnt, wie geil ich das finde, was du hier machst?? Merci schon mal!) |
|
|
||
13.02.2006, 11:27
Ehrenmitglied
Beiträge: 29434 |
#14
nun buegel noch mit diesen 4 Scannern drueber, und berichte, falls noch was gefunden wurde...aber ich denke, es muesste eigentlich alles sauber sein
http://virus-protect.org/multiavtool.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.02.2006, 13:35
Member
Themenstarter Beiträge: 12 |
#15
na super, sophos ist grad fertig: nachdem der scan report das ganze hier sprengen würde nur mal den Schluss:
Could not check c:\WINDOWS\Registration\R000000000003.clb (corrupt) Could not check c:\WINDOWS\Registration\R000000000006.clb (corrupt) Could not check c:\WINDOWS\Registration\R000000000007.clb (corrupt) >>> Virus fragment 'Micro-128' found in file c:\WINDOWS\system32\ActiveScan\pskavs.dll Removal successful Could not open c:\WINDOWS\system32\config\SYSTEM.LOG Could not open c:\WINDOWS\system32\drivers\dtscsi.sys Could not open c:\WINDOWS\system32\drivers\sptd.sys Could not open c:\WINDOWS\system32\drivers\sptd7485.sys Could not check c:\WINDOWS\system32\emptyregdb.dat (corrupt) 2 master boot records swept. 58602 files swept in 1 hour, 11 minutes and 14 seconds. 2489 errors were encountered. 1 virus was discovered. 1 file out of 58602 was infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 2408 encrypted files were not checked. Ending Sophos Anti-Virus. ich kann leider in dem Wust von Zahlen und Buchstaben nicht erkennen was er da jetzt gefunden hat... Trend und McAfee haben nichts gefunden (außer ne Menge Dateien, die sie nicht öffnen konnten) und Kaspersky war schon nach 10 Sekunden mit Scannen fertig...gefunden hat er aber auch nichts! Bleibt nur der Virus den Sophos (s.o.) gefunden hat... Dieser Beitrag wurde am 13.02.2006 um 16:23 Uhr von MichBeck10 editiert.
|
|
|
||
ich hab grad ein erhebliches PC-Problem:
1. Mein Internet Explorer geht sehr langsam und gelegentlich öffnen sich (auf garantiert Popup-freien Seiten) zusätzliche komplette Seiten... (meistens die: http://apply.blinko.com/chat/?affil=5021)
2. Ich hab in meinen Prozessen im task manager eine lsass.exe - wat is dat? Ich hoffe nicht das, nach was es sich anhört...
Kann mir evtl jemand helfen??? Hier mein Hijackthis-Report:
Logfile of HijackThis v1.99.1
Scan saved at 16:38:02, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\spss_lmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\Stopzilla.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Meine Downloads\hijackthis_1991\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.oldorf.swh.mhn.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} - C:\WINDOWS\system32\gpstool.dll
O2 - BHO: (no name) - {8D8A99E4-81AE-45A0-903D-7C01869048F9} - C:\WINDOWS\system32\acleditd.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03c4392c2e4501428516/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100204121265
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O16 - DPF: {DAB941D8-BC94-4819-AB4D-5598C65FA3FE} - http://gpstool.globaladserver.com/v30/gpstool.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43D13F55-143D-43D7-8D8F-18A4F263D780}: NameServer = 10.150.128.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe
Wär super wenn mir jemand helfen könnte...
und was jetzt noch dazu kommt:
zu Punkt 1: Wenn so ein neues Fenster aufgeht, wird zunächst die Seite "http://c.azjmp.com/az/ch.php?f=1544&i=5021" geöffnet - die startet dann irgendeinen Download und dann kommt wie gesagt meistens die "apply.blinko..."
Außerdem kommen jedesmal wenn das passiert neue Oedner wie "Credit Card" Adult Dating" "Games" etc. zu meinen Favoriten!
Bitte bitte helft mir!