pc läuft langsamer + popup beim hochfahrenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
28.02.2006, 22:53
...neu hier
Beiträge: 6 |
||
|
||
02.03.2006, 15:47
Ehrenmitglied
Beiträge: 29434 |
#2
DaveX
der PC ist verseucht mit: C:\Programme\UnSpyPC (Wareout) Die internetverbindung geht in die Ukraine...... http://virus-protect.org/artikel/spyware/idemlog.html Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.2061. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> poste sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.03.2006, 17:27
...neu hier
Themenstarter Beiträge: 6 |
#3
Verzeichnis von C:\WINDOWS\system32
02.03.2006 14:20 21.961 nvapps.xml 02.03.2006 06:20 4.984 close.bmp 02.03.2006 06:20 19.712 insurance.bmp 02.03.2006 06:20 11.772 spyware.bmp 02.03.2006 06:20 21.224 xxx.bmp 02.03.2006 06:20 21.872 pharmacy.bmp 02.03.2006 06:20 21.872 dating.bmp 02.03.2006 06:20 23.480 gambling.bmp 02.03.2006 06:20 387 idesk.conf 27.02.2006 14:19 2.206 wpa.dbl 25.02.2006 20:15 16.832 amcompat.tlb 25.02.2006 20:15 23.392 nscompat.tlb 07.02.2006 21:28 4.513.120 MRT.exe 06.02.2006 20:42 86.016 dpl100.dll 06.02.2006 20:42 593.920 dpuGUI11.dll 06.02.2006 20:42 200.704 dtu100.dll 06.02.2006 20:41 339.968 dpus11.dll 06.02.2006 20:41 57.344 dpv11.dll 06.02.2006 20:41 294.912 dpu11.dll 06.02.2006 20:41 294.912 dpu10.dll 06.02.2006 20:41 716.800 divxdec.ax 06.02.2006 20:41 574.976 DivX.dll 06.02.2006 20:41 679.936 divx_xx07.dll 06.02.2006 20:41 679.936 divx_xx0c.dll 06.02.2006 20:41 663.552 divx_xx11.dll 04.02.2006 08:08 7.006 jupdate-1.5.0_06-b05.log 21.01.2006 03:41 12.288 DivXWMPExtType.dll 14.01.2006 00:18 90.296 FNTCACHE.DAT 14.01.2006 00:17 2.880 MRT.INI 11.01.2006 11:25 70.144 st3.dll 11.01.2006 10:06 109.568 idemlog.exe 11.01.2006 10:06 155.648 rsxbo.dll 04.01.2006 04:35 68.096 webclnt.dll 29.12.2005 03:54 280.064 gdi32.dll 06.12.2005 06:02 5.533.696 wmp.dll 01.12.2005 04:31 1.492.480 shdocvw.dll Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp 02.03.2006 14:30 618 jusched.log 02.03.2006 07:41 4.592 SIntfIcn.ani 02.03.2006 07:41 24.516 SIntfNT.dll 02.03.2006 07:41 19.924 SIntf32.dll 02.03.2006 07:41 12.067 SIntf16.dll 02.03.2006 07:41 36.864 CmdLineExt02.dll 6 Datei(en) 98.581 Bytes 0 Verzeichnis(se), 25.702.309.888 Bytes frei Verzeichnis von C:\WINDOWS 02.03.2006 14:20 1.990.971 WindowsUpdate.log 02.03.2006 14:20 0 0.log 02.03.2006 14:20 2.048 bootstat.dat 02.03.2006 07:44 32.630 SchedLgU.Txt 02.03.2006 07:24 155 winamp.ini 01.03.2006 14:52 4.395 rdt.ini 27.02.2006 14:19 1.830 spupdsvc.log 26.02.2006 14:18 8.414 KB911565.log 26.02.2006 14:18 10.836 wmsetup.log 26.02.2006 14:18 299.455 setupapi.log 25.02.2006 20:18 459 wmsetup10.log 25.02.2006 20:13 316.640 WMSysPr9.prx 21.02.2006 20:38 227 system.ini 21.02.2006 20:38 506 win.ini 19.02.2006 17:28 343.890 iis6.log 19.02.2006 17:28 63.257 ntdtcsetup.log 19.02.2006 17:28 107.206 comsetup.log 19.02.2006 17:28 15.933 ocmsn.log 19.02.2006 17:28 134.311 tsoc.log 19.02.2006 17:28 1.374 imsins.log 19.02.2006 17:28 14.936 tabletoc.log 19.02.2006 17:28 13.274 KB911927.log 19.02.2006 17:28 50.442 netfxocm.log 19.02.2006 17:28 143.036 ocgen.log 19.02.2006 17:28 20.187 MedCtrOC.log 19.02.2006 17:28 14.467 msgsocm.log 19.02.2006 17:28 283.580 FaxSetup.log 19.02.2006 17:28 93.460 msmqinst.log 19.02.2006 17:28 18.328 updspapi.log 19.02.2006 17:28 1.374 imsins.BAK 14.01.2006 00:15 11.818 KB908519.log 11.01.2006 10:06 6.400 balloon.wav 11.01.2006 01:19 216 wiadebug.log 10.01.2006 17:58 54.886 War3Unin.dat 10.01.2006 17:04 50 wiaservc.log 05.01.2006 23:00 25 WinOnCD.ini 02.12.2005 18:01 4.096 d3dx.dat Verzeichnis von C:\ 02.03.2006 17:22 0 sys.txt 02.03.2006 17:21 7.194 system.txt 02.03.2006 17:21 543 systemtemp.txt 02.03.2006 17:17 97.011 system32.txt 02.03.2006 14:20 1.072.484.352 hiberfil.sys 02.03.2006 14:20 1.610.612.736 pagefile.sys 21.02.2006 20:38 211 boot.ini 08.02.2006 00:10 55.557.906 060121_sw_skyvsgrubby_sky1.wmv 03.01.2006 21:36 318.775 CleanUp40.exe 03.01.2006 21:18 5.037.072 spybotsd14.exe 08.09.2005 18:27 5.862.994 ts2_client_rc2_2032.exe 01.09.2005 19:52 4.425.719 zindars_ui_0720.rar 01.09.2005 11:37 4.450 NumericReputation.zip 01.09.2005 11:29 1.334 CastingBarTime.zip 31.08.2005 15:49 429 TO_InstallLog.txt 31.08.2005 15:22 0 CONFIG.SYS 31.08.2005 15:22 0 AUTOEXEC.BAT 31.08.2005 15:22 0 IO.SYS 31.08.2005 15:22 0 MSDOS.SYS 03.08.2004 21:59 251.184 ntldr 03.08.2004 21:38 47.564 NTDETECT.COM 23.08.2001 11:00 4.952 bootfont.bin 22 Datei(en) 2.754.714.426 Bytes 0 Verzeichnis(se), 25.702.297.600 Bytes frei Log-Datei von Blacklight: 03/02/06 17:24:44 [Info]: BlackLight Engine 1.0.33 initialized 03/02/06 17:24:44 [Info]: OS: 5.1 build 2600 (Service Pack 2) 03/02/06 17:24:44 [Note]: 7019 4 03/02/06 17:24:44 [Note]: 7005 0 03/02/06 17:24:55 [Note]: 7006 0 03/02/06 17:24:56 [Note]: 7011 2016 03/02/06 17:24:56 [Note]: FSRAW library version 1.7.1015 03/02/06 17:25:27 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 03/02/06 17:25:27 [Note]: 10002 1 03/02/06 17:25:28 [Info]: Hidden file: C:\WINDOWS\system32\csvmp.exe 03/02/06 17:25:28 [Note]: 7002 32 03/02/06 17:25:28 [Note]: 7003 1 03/02/06 17:25:28 [Note]: 10002 1 03/02/06 17:25:29 [Info]: Hidden file: C:\WINDOWS\system32\dmpeq.exe 03/02/06 17:25:29 [Note]: 7002 32 03/02/06 17:25:29 [Note]: 7003 1 03/02/06 17:25:29 [Note]: 10002 1 03/02/06 17:25:30 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe 03/02/06 17:25:30 [Note]: 10002 1 03/02/06 17:25:30 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 03/02/06 17:25:30 [Note]: 10002 1 03/02/06 17:25:34 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe 03/02/06 17:25:34 [Note]: 10002 1 03/02/06 17:25:36 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 03/02/06 17:25:36 [Note]: 10002 1 03/02/06 17:25:38 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe 03/02/06 17:25:38 [Note]: 10002 1 03/02/06 17:26:08 [Note]: 7007 0 |
|
|
||
03.03.2006, 01:20
Ehrenmitglied
Beiträge: 29434 |
#4
DaveX
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ...... C:\WINDOWS\system32\close.bmp C:\WINDOWS\system32\insurance.bmp C:\WINDOWS\system32\spyware.bmp C:\WINDOWS\system32\xxx.bmp C:\WINDOWS\system32\pharmacy.bmp C:\WINDOWS\system32\dating.bmp C:\WINDOWS\system32\gambling.bmp C:\WINDOWS\system32\idesk.conf C:\WINDOWS\system32\amcompat.tlb C:\WINDOWS\system32\nscompat.tlb C:\WINDOWS\system32\st3.dll C:\WINDOWS\system32\rsxbo.dll C:\WINDOWS\system32\idemlog.exe C:\WINDOWS\system32\csvmp.exe C:\WINDOWS\system32\dmpeq.exe C:\WINDOWS\system32\favset.exe C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\howiper.exe C:\WINDOWS\system32\pppcgm.exe C:\WINDOWS\system32\sphlp32.exe C:\WINDOWS\balloon.wav C:\WINDOWS\rdt.ini PC neustarten damit wird auch die Internetverbindung geloescht...du musst nach neustart eine neue erstellen öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4} - DCC_send.dll (file missing) O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll O4 - HKLM\..\Run: [ms-its] avpmondll.exe O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe O4 - HKCU\..\Run: [msag] avpmondll.exe O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.206 O20 - Winlogon Notify: st3 - C:\WINDOWS\q3020187_disk.dll (file missing) nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell loesche /deinstalliere C:\Programme\UnSpyPC SmitfraudFix--> scanne Option 1 und 2 http://virus-protect.org/artikel/tools/smitfrautfix.html Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> poste den scanreport vom Silentrunner http://virus-protect.org/silentrunner.html [dann erstelle ich noch eine Datei, um die Registry zu saeubern...und es folgen Virenscanns] __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2006, 13:16
...neu hier
Themenstarter Beiträge: 6 |
#5
Log von Fixwareout:
Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xxzmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\golmedi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dmzxx.exe"=- ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... C:\WINDOWS\SYSTEM32\DMZXX.EXE C:\WINDOWS\SYSTEM32\CSQVX.EXE * csr.exe C:\WINDOWS\System32\CSQVX.EXE »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool Scanreport Silentrunners: "Silent Runners.vbs", revision 43, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "AdaptecDirectCD" = ""C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"" ["Roxio"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"] "{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Roxio\WINONC~1\DirectCD\Shellex.dll" ["Roxio"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}" = "st3" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\q3020187_disk.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "David" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Sinus 1054 data" -> shortcut to: "C:\Programme\DT\Sinus 1054 data\Wifiusb.exe" ["TECOM"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {6224F700-CBA3-4071-B251-47CB894244CD}\ "ButtonText" = "ICQ Pro" "MenuText" = "ICQ" "Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4}" = "trycrt" -> {CLSID}\InProcServer32\(Default) = "DCC_send.dll" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]} NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 30 seconds, including 18 seconds for message boxes) Mfg DaveX Dieser Beitrag wurde am 05.03.2006 um 13:20 Uhr von DaveX editiert.
|
|
|
||
05.03.2006, 13:39
Ehrenmitglied
Beiträge: 29434 |
#6
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken dann scanne mit ewido (am besten im abgesicherten modus) und poste den scanreport http://virus-protect.org/ewido.html + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2006, 19:56
...neu hier
Themenstarter Beiträge: 6 |
#7
---------------------------------------------------------
ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 19:51:36, 05.03.2006 + Report-Checksumme: DC8393FD + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} -> Downloader.Delf : Gesäubert mit Backup C:\!KillBox\favset.exe -> Trojan.Favadd.an : Gesäubert mit Backup C:\!KillBox\filesafer23.exe -> Hijacker.Small : Gesäubert mit Backup C:\!KillBox\howiper.exe -> Trojan.Qhost.df : Gesäubert mit Backup C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Gesäubert mit Backup C:\!KillBox\sphlp32.exe -> Adware.FindSpy : Gesäubert mit Backup :mozilla.7:C:\Dokumente und Einstellungen\David\Anwendungsdaten\Mozilla\Firefox\Profiles\4yovmm2i.default\cookies.txt C:\Dokumente und Einstellungen\David\Cookies\david@z1.adserver[1].txt -> TrackingCookie.Adserver : Gesäubert mit Backup C:\Hijackthis\backups\backup-20060302-064119-902.dll -> Adware.SBSoft : Gesäubert mit Backup C:\WINDOWS\system32\csqvx.exe -> Downloader.Agent.uj : Gesäubert mit Backup ::Report Ende Hab alle infizierten dateien entfernen lassen. Hoffe das ich nichts falsch gemacht hab. Hijackthis Log: Logfile of HijackThis v1.99.1 Scan saved at 19:55:38, on 05.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\DT\Sinus 1054 data\Wifiusb.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Sinus 1054 data.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
|
||
05.03.2006, 21:17
Ehrenmitglied
Beiträge: 29434 |
#8
DaveX
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2006, 23:13
...neu hier
Themenstarter Beiträge: 6 |
#9
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT Sunday, March 05, 2006 11:12:31 PM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 5/03/2006 Kaspersky Anti-Virus database records: 169398 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ Scan Statistics: Total number of scanned objects: 28261 Number of viruses found: 1 Number of infected objects: 1 Number of suspicious objects: 0 Duration of the scan process: 00:26:49 Infected Object Name / Virus Name / Last Action C:\WINDOWS\system32\dmzxx.exe Infected: Trojan.Win32.Small.fb skipped Scan process completed. |
|
|
||
06.03.2006, 11:47
Ehrenmitglied
Beiträge: 29434 |
#10
loesche diese Datei C:\WINDOWS\system32\dmzxx.exe
dann scanne noch mal, denn es kann sein, dass sich die exe unter anderem Namen neu erstellt hat. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.03.2006, 19:24
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
habn problem das mein rechner seit kurzem beim spielen langsamer läuft als früher. hab nix installiert und sonst eigentlich nichts geändert. beim start von windows kommt seit kurzem auch immer so nen komisches popup mit links etc.
hab neuerdings auch 2 toolbars im explorer einen von google (kommt wahrscheinlich vom divx player) und irgendne englische die ich beide gerne weg hätte aber keine ahnung wie
wäre nett wenn sich ma jemand den log anschauen könnte und ggf. irgendwie helfen könnte
Danke im voraus
Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:40:10, on 28.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\mIRC\mirc.exe
C:\Programme\ICQ\Icq.exe
c:\warcraft iii\war3.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: (no name) - {46E3667D-67EB-3BB7-9C04-8CAC2DB1C0D4} - DCC_send.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\rsxbo.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ms-its] avpmondll.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
O4 - HKCU\..\Run: [msag] avpmondll.exe
O4 - Global Startup: Sinus 1054 data.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Programme\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{736906CA-F3F8-4214-AFFC-7DB6A7AB8090}: NameServer = 85.255.116.72,85.255.112.206
O20 - Winlogon Notify: st3 - C:\WINDOWS\q3020187_disk.dll (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe