WORM/VB.DW Antivir kann nicht entfernen |
||
---|---|---|
#0
| ||
22.03.2006, 12:18
Member
Beiträge: 12 |
||
|
||
22.03.2006, 12:39
Ehrenmitglied
Beiträge: 29434 |
#17
Blans
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT41. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ........ C:\WINDOWS\system32\nvapps.xml C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\winlog.exe C:\WINDOWS\system32\settings.sfm C:\WINDOWS\system32\settingsbkup.sfm C:\WINDOWS\system32\m228lcfu1f28.dll C:\WINDOWS\system32\p2n8lc5u1f.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\setup.exe.tmp C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\keyboard41.dat C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\drivers\netpt.sys C:\Programme\Toolbar888\ToolBar888.dll C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe C:\Programme\Network Monitor\netmon.exe C:\WINDOWS\0.log C:\WINDOWS\drsmartload2.dat C:\WINDOWS\Installer.exe C:\WINDOWS\dh.ini C:\WINDOWS\newname.dat C:\WINDOWS\newname4.exe C:\WINDOWS\mousepad4.exe C:\WINDOWS\teller2.chk C:\WINDOWS\keyboard4.exe C:\WHCC2.exe C:\drsmartload1.exe PC neustarten 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard4.exe O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad4.exe O4 - HKLM\..\Run: [newname] C:\windows\newname4.exe O4 - HKLM\..\RunServices: [winlog] winlog.exe O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [mouf] C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing) O18 - Filter: text/html - (no CLSID) - (no file) O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p2n8lc5u1f.dll O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe 4. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen ! ------------------------------------------------------------------------------------------------- 5. l2mfix --> Option 2 klicken, den PC neustarten --> nach neustart und scan (abwarten !)--> poste den scanreport http://virus-protect.org/l2mfix.html 6. deinstallieren-loeschen C:\Programme\Toolbar888 C:\Programme\BearShare C:\Programme\Free Download Manager C:\Programme\Network Monitor C:\Programme\PartyGaming.net C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M <--loeschen C:\Programme\Gemeiname Dateien\mouf <--loeschen 7. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 8. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 9. scanne mit ewido und poste den scanbericht http://virus-protect.org/ewido.html 10. Counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2006, 13:37
Member
Beiträge: 12 |
#18
Hier der I2mfix report:
L2mfix 032106 Creating Account. Der Befehl wurde erfolgreich ausgefhrt. Adding Administrative privleges. Checking for L2MFix account(0=no 1=yes): 1 Granting SeDebugPrivilege to L2MFIX ... successful Running From: C:\WINDOWS\system32 Killing Processes! Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 408 'smss.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 484 'winlogon.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1660 'explorer.exe' Killing PID 1660 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Error, Cannot find a process with an image name of rundll32.exe Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administratoren ... successful e Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}] @="" [HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{89B73688-9B27-447B-891A-78708ACBBB02}"=- [-HKEY_CLASSES_ROOT\CLSID\{89B73688-9B27-447B-891A-78708ACBBB02}] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** Checking for L2MFix account(0=no 1=yes): 0 Zipping up files for submission: zip warning: name not matched: dlls\*.* zip error: Nothing to do! (backup.zip) adding: backregs/89B73688-9B27-447B-891A-78708ACBBB02.reg (188 bytes security) (deflated 70%) adding: backregs/notibac.reg (164 bytes security) (deflated 87%) adding: backregs/shell.reg (164 bytes security) (deflated 51%) __________ Die Antwort: 42 |
|
|
||
22.03.2006, 14:18
Ehrenmitglied
Beiträge: 29434 |
||
|
||
22.03.2006, 15:08
Member
Beiträge: 12 |
#20
hier der ewido scan, der counterspy kommt als nächstes...
--------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 15:07:48, 22.03.2006 + Report-Checksumme: AE6FFCD5 + Scanergebnis: F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@y-1shz2prbmdj6wvny-1sez2pra2dj6wfk4kldzocogmdj6x9ny-1seq-2-2.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@y-1shz2prbmdj6wvny-1sez2pra2dj6wjk4wjcjglpwmdj6x9ny-1seq-2-2.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup F:\backup c\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Gain_Trickler.exe -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\CMESys.exe -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GController.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GIocl.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GObjs.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GStore.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\Programme\Gemeinsame Dateien\CMEII\Gtools.dll -> Adware.Gator : Gesäubert mit Backup F:\backup c\WINDOWS\Coder\_1-k24-1-0-.exe -> Dialer.Generic : Gesäubert mit Backup ::Report Ende Und hier ist der Counterspy-Report: Spyware Scan Details Start Date: 22.03.2006 15:11:26 End Date: 22.03.2006 16:04:59 Total Time: 53 mins 33 secs Detected spyware KaZaA P2P Program more information... Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer. Status: Quarantined Infected files detected c:\programme\kazaa\db\ctx4-051016.cab c:\programme\kazaa\db\data1024.dbb c:\programme\kazaa\db\data256.dbb c:\programme\kazaa\db\k7tqkgkk_tssv125.dat c:\programme\kazaa\db\np.tmp c:\programme\kazaa\db\ova4-051106.cab c:\programme\kazaa\db\tss4.cab c:\programme\kazaa\my shared folder\kazaa267_de.exe Infected registry entries detected HKEY_CURRENT_USER\Software\Kazaa\Advanced HKEY_CURRENT_USER\Software\Kazaa\Advanced Status Installed HKEY_CURRENT_USER\software\kazaa HKEY_CURRENT_USER\software\kazaa\Advanced Status Installed HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband BBDbLoc C:\Programme\Kazaa\Db\bb.db HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband NullImageLoc C:\Programme\Kazaa\broadband.gif HKEY_CURRENT_USER\software\kazaa\Promotions\Broadband NullImageLoc2 C:\Programme\Kazaa\broadband2.gif HKEY_CURRENT_USER\software\kazaa\Settings + HKEY_CURRENT_USER\software\kazaa\Settings Date HKEY_CURRENT_USER\software\kazaa\Settings UseCount 0 HKEY_CURRENT_USER\software\kazaa\Transfer + HKEY_CURRENT_USER\software\kazaa\Transfer NoUploadLimitWhenIdle 1 HKEY_CURRENT_USER\software\kazaa\UserDetails + HKEY_CURRENT_USER\software\kazaa Tmp 0 HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking SlowInfoCache HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking Changed 0 Need2Find.Toolbar Toolbar more information... Details: Need2Find.Toolbar is an IE plugin with its own Search Field. Status: Quarantined Infected registry entries detected HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2 HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2\CLSID {0002DF01-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\MSIEDe1egate.Application.2 Internet Exp1orer (Ver 1.18284) HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner test "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Home C:\Program Files\Altnet\Points Manager\Points Manager.exe HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Points "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Redeem "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 2 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Wallet "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 3 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar\Partner PM-Settings "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 4 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar pid KC HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Dir C:\Programme\Need2Find\bar\ HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar ShzmCurInstall 1 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar CurInstall 1 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar sr 0 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar pl 7 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Id 2DE0EF30-190B-44C9-AAA6-623A652288FC HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Build 141.47251 HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar CacheDir C:\Programme\Need2Find\bar\Cache\ HKEY_LOCAL_MACHINE\SOFTWARE\Need2Find\bar Visible 1 Need2FindBar Adware more information... Status: Quarantined Infected files detected C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll Infected registry entries detected HKEY_LOCAL_MACHINE\Software\Need2Find HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner test "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1 HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Home C:\Program Files\Altnet\Points Manager\Points Manager.exe HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Points "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 1 HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Redeem "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 2 HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Wallet "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 3 HKEY_LOCAL_MACHINE\Software\Need2Find\bar\Partner PM-Settings "C:\Program Files\Altnet\Points Manager\Points Manager.exe" -p 4 HKEY_LOCAL_MACHINE\Software\Need2Find\bar pid KC HKEY_LOCAL_MACHINE\Software\Need2Find\bar Dir C:\Programme\Need2Find\bar\ HKEY_LOCAL_MACHINE\Software\Need2Find\bar ShzmCurInstall 1 HKEY_LOCAL_MACHINE\Software\Need2Find\bar CurInstall 1 HKEY_LOCAL_MACHINE\Software\Need2Find\bar sr 0 HKEY_LOCAL_MACHINE\Software\Need2Find\bar pl 7 HKEY_LOCAL_MACHINE\Software\Need2Find\bar Id 2DE0EF30-190B-44C9-AAA6-623A652288FC HKEY_LOCAL_MACHINE\Software\Need2Find\bar Build 141.47251 HKEY_LOCAL_MACHINE\Software\Need2Find\bar CacheDir C:\Programme\Need2Find\bar\Cache\ HKEY_LOCAL_MACHINE\Software\Need2Find\bar Visible 1 Twain Tech Adware more information... Details: Twain-Tech is an adware based Internet Explorer browser helper object that deliver targeted ads based on a user’s browsing patters. Twain-Tech does not provide any other relevant purpose other then to display pop-up ads. Status: Deleted Infected files detected c:\windows\smdat32a.sys c:\windows\smdat32m.sys TargetSaver Trojan Downloader more information... Details: TargetSaver is a process run at Windows startup, which opens pop-ups. Status: Quarantined Infected files detected c:\windows\system32\tsuninst.exe Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\system32\tsuninst.exe /u Freeprod Toolbar more information... Details: Freeprod installs a Internet Explorer Toolbar, often bundled with other potentially unwanted software. Status: Quarantined Infected files detected c:\dokumente und einstellungen\hans bliss\desktop\freeprodtb.exe C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe Infected registry entries detected HKEY_CURRENT_USER\Software\Director HKEY_CURRENT_USER\Software\Director Affid mc-110-12-0000140 HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director HKEY_CURRENT_USER\Software\Director Uid 5bd9f7d8-7fad-468e-bbde-7f9e6358a192 HKEY_CURRENT_USER\Software\Director Request 22/3/2006 2:51:56 HKEY_CURRENT_USER\Software\XBTB04715 Claria.GAIN.CommonElements Adware more information... Details: Claria's GAIN network consists of several applications inlcuding Gator eWallet, GotSmiley, ScreenSeenes, WebSecureAlert, DashBar, Weatherscope, Date Manager and Precision Time. Status: Deleted Infected files detected F:\backup c\Programme\Gemeinsame Dateien\CMEII\store\core\appmgrgui.zip F:\backup c\Programme\Gemeinsame Dateien\CMEII\store\core\hfixcfg BearShare P2P Program more information... Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Quarantined Infected registry entries detected HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1 HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905} HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 C:\Programme\BearShare\RunMSC.dll HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR C:\Programme\BearShare\ HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library WhenU.SaveNow Adware more information... Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing. Status: Quarantined Infected registry entries detected HKEY_CLASSES_ROOT\runmsc.loader.1\clsid HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07} HKEY_CLASSES_ROOT\runmsc.loader\clsid HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07} HKEY_CLASSES_ROOT\runmsc.loader\curver HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1 HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905} HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0 HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 C:\Programme\BearShare\RunMSC.dll HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1 HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905} HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class eXact.BargainBuddy Adware more information... Details: BargainBuddy is a Browser Helper Object that watches the pages your browser requests and the terms you enter into a search engine web form. If a term matches a preset list of sites or keywords, BargainBuddy will display an ad. Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Type 3 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Count 176 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA}\iexplore Time InternetOffers Adware more information... Details: InternetOffers displays popup advertisements with no attribution and installs without consent. Status: Quarantined Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\System32\tsuninst.exe /u HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA DisplayName TSA HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TSA UninstallString C:\WINDOWS\system32\tsuninst.exe /u Maxifiles.Director Adware more information... Details: Maxifiles.Director is a trojan which downloads adware-related files from various Web sites. Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\Director HKEY_CURRENT_USER\Software\Director Affid mc-110-12-0000140 HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director HKEY_CURRENT_USER\Software\Director Uid 5bd9f7d8-7fad-468e-bbde-7f9e6358a192 HKEY_CURRENT_USER\Software\Director Request 22/3/2006 2:51:56 DNSCatcher Adware more information... Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\Director BaseURL http://www.maxifiles.com/director TheBestOffersNetworks.Kazaa Adware more information... Details: TheBestOffersNetworks.Kazaa is Adware installed with the Kazaa file-sharing software. Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\tbon HKEY_CURRENT_USER\Software\tbon AUI3d5OfSDist 212|4|0|0|KAZAA.EXE CmdService Adware more information... Details: CmdService is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages. Status: Quarantined Infected registry entries detected HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} Contact Customer Support Department HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} DisplayName Command HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} DisplayVersion 1.0.1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoModify 1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoRemove 0 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} NoRepair 1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920} UninstallString wscript "C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\m3IRwV1pvJLDsZ00kAUDwag.vbs" HKEY_LOCAL_MACHINE\SOFTWARE\Policies {645FF040-5081-101B-9F08-00AA002F954E} 0 HKEY_LOCAL_MACHINE\SOFTWARE\Policies {6BF52A52-394A-11D3-B153-00C04F79FAA6} 6 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} UninstallString wscript "C:\WINDOWS\uninstall_nmon.vbs" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department StartPage.TimesSquare Adware more information... Details: StartPage.TimesSquare hijacks the IE start page and search pages and displays ads. Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main Default_Search_URL http://searchbar.findthewebsiteyouneed.com HKEY_LOCAL_MACHINE\SOFTWARE\Policies {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} ZQuest.newfrn Adware more information... Status: Quarantined Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DH HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DH 0 BestOffersNetwork Adware more information... Status: Quarantined Infected registry entries detected HKEY_CURRENT_USER\Software\tbon HKEY_CURRENT_USER\Software\tbon AUI3d5OfSDist 212|4|0|0|KAZAA.EXE Monet Trojan Downloader more information... Status: Quarantined Infected registry entries detected HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} Contact Customer Support Department HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayName Network Monitor HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} DisplayVersion 6.0.1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoModify 1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRemove 0 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} NoRepair 1 HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE} UninstallString wscript "C:\WINDOWS\uninstall_nmon.vbs" VIELEN DANK FÜR ALLES, ICH WEISS GAR NICHT WIE ICH DIE DANKEN SOLL SABINA... OHNE DICH WÄR MEIN SYSTEM VERLOREN GEWESEN... GRUß BLANS __________ Die Antwort: 42 Dieser Beitrag wurde am 22.03.2006 um 16:25 Uhr von Blans editiert.
|
|
|
||
22.03.2006, 19:55
Ehrenmitglied
Beiträge: 29434 |
#21
Blans
1. scanne noch mal mit Counterspy...bis alles sauber bleibt. 2. dann mache einen Onlinescan mit panda + poste den scareport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 01:57
Member
Beiträge: 12 |
#22
Pandascan-Report:
Incident Status Location Adware:adware/maxifiles Not disinfected C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet Adware:adware/savenow Not disinfected Windows Registry Potentially unwanted tool:application/altnet Not disinfected HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\ALTNETDM Adware:adware/sqwire Not disinfected Windows Registry Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@2o7[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@as1.falkag[2].txt Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.2o7.net/] Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.doubleclick.net/] Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.adtech.de/] Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.mediaplex.com/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[as1.falkag.de/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.as-eu.falkag.net/] Spyware:Cookie/QuestionMarket Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.questionmarket.com/] Spyware:Cookie/SexList Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.sexlist.com/] Spyware:Cookie/cs.sexcounter Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cs.sexcounter.com/] Spyware:Cookie/Statcounter Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.statcounter.com/] Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.sextracker.com/] Spyware:Cookie/Sextracker Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[counter15.sextracker.com/] Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[sel.as-eu.falkag.net/] Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.advertising.com/] Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.tradedoubler.com/] Spyware:Cookie/Advnt Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[www.advnt01.com/] Spyware:Cookie/Rn11 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.rn11.com/] Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.errorsafe.com/] Spyware:Cookie/WinFixer Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.winfixer.com/] Spyware:Cookie/Maxserving Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.maxserving.com/] Spyware:Cookie/RealMedia Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.realmedia.com/] Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.atwola.com/] Spyware:Cookie/Hbmediapro Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.adopt.hbmediapro.com/] Spyware:Cookie/Tucows Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.tucows.com/] Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.xiti.com/] Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[fe.lea.lycos.de/] Spyware:Cookie/Apmebf Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.apmebf.com/] Spyware:Cookie/GoStats Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.gostats.com/] Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cdfreaks.com/] Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.club.cdfreaks.com/] Spyware:Cookie/Cd Freaks Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.cdfreaks.com/] Spyware:Cookie/Belnk Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[.belnk.com/] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Firefox\Profiles\nyislmyr.default\cookies.txt[] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@2o7[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@as1.falkag[2].txt Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\l2mfix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\l2mfix.exe[Process.exe] Potentially unwanted tool:Application/MyWebSearch Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\5B405A8A-825C-42B6-AD4F-E1594C\597E22F6-9B8B-49B1-91EE-8F526F Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@888[1].txt Spyware:Cookie/Cassava Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@cassava[1].txt Spyware:Cookie/FindtheWebsiteYouNeed Not disinfected C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@www.findthewebsiteyouneed[2].txt Spyware:Cookie/Maxserving Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Anwendungsdaten\Mozilla\Profiles\default\w2bjxvmg.slt\cookies.txt[] Spyware:Cookie/Gorillanation Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@ads.gorillanation[2].txt Spyware:Cookie/Atwola Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@atwola[2].txt Spyware:Cookie/go Not disinfected F:\backup c\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@go[1].txt Virus:Bck/Dumador.CU Disinfected F:\backup c\WINDOWS\system32\drivers\etc\hosts Virus:Trj/Citifraud.A Disinfected Lokale Ordner\inka\Please update your e-Bay account information\~0000001.~ Virus:Trj/Citifraud.A Disinfected Lokale Ordner\web.de\Please update your e-Bay account information\~0000001.~ Nochmals Danke... __________ Die Antwort: 42 Dieser Beitrag wurde am 23.03.2006 um 02:05 Uhr von Blans editiert.
|
|
|
||
23.03.2006, 11:32
Ehrenmitglied
Beiträge: 29434 |
#23
Blans
1. C:\PROGRAMME\GEMEINSAME DATEIEN\InetGet--> loeschen C:\Dokumente und Einstellungen\Hans Bliss\Cookies\hans bliss@www.findthewebsiteyouneed[1].txt C:\Dokumente und Einstellungen\Hans Bliss\Lokale Einstellungen\Temp\Cookies\hans bliss@www.findthewebsiteyouneed[2].txt 2. gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken 3. Hoster.zip--> einfach 'Restore Original Hosts - klicken und fertig http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 4. lade den Firefox und surfe nur noch mit ihm (der IE bleibt fuer die WindowsUpdates) http://virus-protect.org/firefox.html ------------------------------------------------------------------------------------ Lokale Ordner\web.de\Please update your e-Bay account information ...hier bist du wahrscheinlich auf einen Betrueger reingefallen, der eventuell nun deine Zugangsdaten zu ebay besitzt..ueberpruefe mal, ob mit deinem ebay-Account alles in Ordnung ist. + poste das neue Log vom HijackThis zur Ueberpruefung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 12:16
Member
Beiträge: 12 |
#24
Zu 4. Eigentlich benutz ich nur noch den Firefox, nur werden halt dummerweise manche Seiten nicht korrekt angezeigt... deswegen benutz ich hin und wieder den IE...
und auf den eBay-Betrüger bin ich nicht reingefallen, ich hab nur vergessen die mail zu löschen... Sicherheitshalber hab ich mein PW aber geändert... Und hier der HijackThis-Log Logfile of HijackThis v1.99.1 Scan saved at 12:02:13, on 23.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Speed Disk\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Hans Bliss\Desktop\ANTIVR;SPY;ETC\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t22265-lastpage.htm O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WEB.DE Quick-Start.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131656735984 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe Vielen Dank nochmal... __________ Die Antwort: 42 |
|
|
||
23.03.2006, 14:11
Ehrenmitglied
Beiträge: 29434 |
#25
es ist alles wieder in Ordnung
Fixe noch mit dem HijackThis: O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) - ewido und Counterspy sind ist 14 Tage free... nicht vergessen.... - Windows Defender (free) http://virus-protect.org/ms.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2006, 15:57
Member
Beiträge: 12 |
#26
Sabina
Alles klar... Vielen Dank nochmal, ich hab dir über PayPal ein kleines Dankeschön zukommen lassen... Bis zum nächsten Virus... Gruß Blans __________ Die Antwort: 42 |
|
|
||
02.04.2006, 12:20
...neu hier
Beiträge: 5 |
#27
ok ich habe mir auch diesen Virus eingefangen und meine Logfiles sind:
system 32: 02.04.2006 11:14 235.120 dqcpsapi.dll 02.04.2006 11:14 237.090 s0pula791d.dll 02.04.2006 09:00 235.719 lvrq0995e.dll 02.04.2006 08:52 5.120 winkey.dll 02.04.2006 08:52 235.120 dkserver.dll 02.04.2006 08:52 236.247 kt2ml7f11.dll 02.04.2006 00:32 235.120 lv8409lqe.dll 01.04.2006 20:21 2 wapisvit.exe 01.04.2006 20:19 687.592 atmtd.dll 01.04.2006 20:19 687.592 atmtd.dll._ 01.04.2006 20:17 49.104 mc-110-12-0000137.exe 01.04.2006 20:17 32.768 OLD10F.tmp 01.04.2006 20:17 62.464 bszip.dll 01.04.2006 20:17 0 ping.com 01.04.2006 20:17 0 netstat.com 01.04.2006 20:17 0 taskkill.com 01.04.2006 20:17 0 cmd.com 01.04.2006 20:17 0 regedit.com 01.04.2006 20:17 0 tasklist.com 01.04.2006 20:17 0 tracert.com 30.03.2006 15:44 13.646 wpa.dbl 27.03.2006 18:46 139.264 vukidc.dll 26.03.2006 11:07 380.350 perfh009.dat 26.03.2006 11:07 63.580 perfc007.dat 26.03.2006 11:07 52.764 perfc009.dat 26.03.2006 11:07 391.000 perfh007.dat 26.03.2006 11:07 898.018 PerfStringBackup.INI 18.03.2006 14:39 1.409 tmp1FDF2.FOT 18.03.2006 14:39 1.409 tmp3BDF2.FOT 18.03.2006 14:39 1.409 tmp48DF2.FOT 18.03.2006 14:39 1.409 tmp7FCF2.FOT 18.03.2006 14:39 1.409 tmp99CF2.FOT 10.03.2006 02:10 4.799.320 MRT.exe systemtemp: 02.04.2006 12:17 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}31853.html 02.04.2006 12:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}3347.html 02.04.2006 12:15 16.384 ~DF89E4.tmp 02.04.2006 12:15 512 ~DF8A0C.tmp 02.04.2006 12:15 16.384 ~DF8A04.tmp 02.04.2006 12:15 16.384 ~DF89D4.tmp 02.04.2006 12:15 512 ~DF89DC.tmp 02.04.2006 12:15 16.384 ~DF89F4.tmp 02.04.2006 12:15 512 ~DF89EC.tmp 02.04.2006 12:15 512 ~DF89FC.tmp 02.04.2006 11:25 16.384 ~DF9F60.tmp 02.04.2006 11:25 16.384 ~DF81BE.tmp 02.04.2006 11:25 512 ~DF8219.tmp 02.04.2006 11:24 16.384 Perflib_Perfdata_c18.dat 14 Datei(en) 119.209 Bytes 0 Verzeichnis(se), 21.346.766.848 Bytes frei System: 02.04.2006 12:06 4.228 ModemLog_HSP56 World MicroModem.txt 02.04.2006 11:24 700 win.ini 02.04.2006 11:14 0 0.log 02.04.2006 11:14 159 wiadebug.log 02.04.2006 11:14 1.421.978 WindowsUpdate.log 02.04.2006 11:14 50 wiaservc.log 02.04.2006 11:13 2.048 bootstat.dat 02.04.2006 01:10 32.554 SchedLgU.Txt 02.04.2006 00:59 43.609 ktd32.atm 02.04.2006 00:14 42.736 icont.exe 01.04.2006 20:21 0 dh.ini 01.04.2006 20:20 751.611 setupapi.log 01.04.2006 20:20 43 drsmartload2.dat 01.04.2006 20:18 0 newname.dat 01.04.2006 20:18 0 keyboard71.dat 01.04.2006 20:18 45.056 newname7.exe 01.04.2006 20:18 40 teller2.chk 01.04.2006 20:18 40.960 mousepad7.exe 28.03.2006 14:07 11.776 DH.dll 25.03.2006 11:24 151.820 DirectX.log 07.03.2006 00:07 357.406 services.exe 05.03.2006 16:06 14.955 wmsetup.log 05.03.2006 15:50 11 amunres.lsl 25.02.2006 17:48 2.359.350 Firefox Wallpaper.bmp 19.02.2006 14:26 121 TENNIS.INI 19.02.2006 12:35 29.899 spupdsvc.log 18.02.2006 23:58 49.703 iis6.log 18.02.2006 23:58 118.532 comsetup.log 18.02.2006 23:58 130.991 tsoc.log 18.02.2006 23:58 18.620 ocmsn.log 18.02.2006 23:58 71.470 ntdtcsetup.log 18.02.2006 23:58 1.374 imsins.log 18.02.2006 23:58 10.630 KB911927.log 18.02.2006 23:58 175.343 ocgen.log 18.02.2006 23:58 16.919 msgsocm.log 18.02.2006 23:58 323.767 FaxSetup.log 18.02.2006 23:58 21.304 updspapi.log 18.02.2006 23:58 1.374 imsins.BAK 18.02.2006 23:58 8.074 KB911564.log 18.02.2006 23:58 8.319 KB911565.log 18.02.2006 23:58 6.636 KB913446.log sys: 02.04.2006 12:19 0 sys.txt 02.04.2006 12:18 8.501 system.txt 02.04.2006 12:18 1.042 systemtemp.txt 02.04.2006 12:16 95.206 system32.txt 02.04.2006 11:13 1.207.959.552 pagefile.sys 01.04.2006 20:20 53.248 drsmartload1.exe 01.04.2006 20:19 578.560 Installer.exe 01.04.2006 20:18 38.650 sk02.exe könnt ihr mir sagen was ich jetzt tun muss. Danke im Vorraus |
|
|
||
02.04.2006, 13:11
Ehrenmitglied
Beiträge: 29434 |
#28
Tajiri262
Gehe in die Registry Start-Ausfuehren-regedit HKEY_CURRENT_USER\Software\Director <--loeschen KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: . C:\WINDOWS\system32\dqcpsapi.dll C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\s0pula791d.dll C:\WINDOWS\system32\lvrq0995e.dll C:\WINDOWS\system32\winkey.dll C:\WINDOWS\system32\dkserver.dll C:\WINDOWS\system32\kt2ml7f11.dll C:\WINDOWS\system32\lv8409lqe.dll C:\WINDOWS\system32\wapisvit.exe C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll._ C:\WINDOWS\system32\mc-110-12-0000137.exe C:\WINDOWS\system32\OLD10F.tmp C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\vukidc.dll C:\WINDOWS\ktd32.atm C:\WINDOWS\icont.exe C:\WINDOWS\dh.ini C:\WINDOWS\setupapi.log C:\WINDOWS\drsmartload2.dat C:\WINDOWS\newname.dat C:\WINDOWS\keyboard71.dat C:\WINDOWS\newname7.exe C:\WINDOWS\teller2.chk C:\WINDOWS\mousepad7.exe C:\WINDOWS\DH.dll C:\WINDOWS\services.exe C:\WINDOWS\amunres.lsl C:\drsmartload1.exe C:\Installer.exe C:\sk02.exe PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell ----------------------------------------------------- l2mfix - Option 2 anklicken - PC neustarten - Scan abwarten http://virus-protect.org/l2mfix.html ---------------------------------------------------- Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (wenn dann spaeter alles wieder sauber ist- wieder aktivieren) --------------------------------------------------- •Datenträgerbereinigung: und Löschen der Temporary-Dateien Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k --------------------------------------------------- zango.bfu abarbeiten http://virus-protect.org/artikel/bfu/zango_bfu.html winlog.bfu und ewido abarbeiten http://virus-protect.org/artikel/bfu/winlog_bfu.html wenn es noch da ist , loeschen: C:\Programme\Gemeinsame Dateien\Windows C:\Programme\Gemeinsame Dateien\InetGet C:\Programme\Gemeinsame Dateien\InetGet2 C:\Programme\Gemeinsame Dateien\mc-110-12-0000137.exe C:\Programme\Gemeinsame Dateien\system32.dll C:\Programme\Gemeinsame Dateien\services.exe -------------------------------------------------- Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.04.2006, 15:44
...neu hier
Beiträge: 5 |
#29
gib mir mal bitte deine ICQ Nummer du musst mir das genauer erklären. Meine ist 262-979-669
|
|
|
||
02.04.2006, 17:07
Ehrenmitglied
Beiträge: 29434 |
#30
nein, es gibt meinerseits keine direkten Support, das wuerde zu weit gehen.
Arbeite alles ab , wie erklaert oder formatiere. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
LOG1
Verzeichnis von C:\WINDOWS\system32
22.03.2006 12:01 17.145 nvapps.xml
22.03.2006 12:01 234.174 guard.tmp
22.03.2006 11:53 23.412 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 23.412 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 18.672 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 18.672 BMXState-{00000000-00000000-0000000A-00001102-00000004-00531102}.rfx
22.03.2006 11:53 2.056 settings.sfm
22.03.2006 11:53 2.056 settingsbkup.sfm
22.03.2006 11:53 24 DVCState-{00000000-00000000-0000000A-00001102-00000004-00531102}.dat
22.03.2006 11:53 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-00531102}.dat
22.03.2006 11:52 236.234 m228lcfu1f28.dll
21.03.2006 23:48 234.174 p2n8lc5u1f.dll
21.03.2006 22:09 687.592 atmtd.dll._
21.03.2006 22:09 687.592 atmtd.dll
21.03.2006 22:04 32.768 setup.exe.tmp
21.03.2006 22:04 62.464 bszip.dll
21.03.2006 22:03 0 tracert.com
21.03.2006 22:03 0 cmd.com
21.03.2006 22:03 0 regedit.com
21.03.2006 22:03 0 tasklist.com
21.03.2006 22:03 0 taskkill.com
21.03.2006 22:03 0 netstat.com
21.03.2006 22:03 0 ping.com
18.03.2006 18:08 13.646 wpa.dbl
08.02.2006 23:15 203.328 FNTCACHE.DAT
05.02.2006 20:04 2 RICHTX.DEP
05.02.2006 20:02 16.832 amcompat.tlb
05.02.2006 20:02 23.392 nscompat.tlb
04.02.2006 21:31 45 initdebug.nfo
01.02.2006 10:09 155.648 WMIMPLEX.dll
01.02.2006 10:09 36.864 maplec.dll
18.01.2006 13:05 57.344 avsda.dll
14.01.2006 17:11 1.766 Playboy Screensaver.002
19.12.2005 18:30 23.412 BMXBkpCtrlState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 23.412 BMXCtrlState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 18.672 BMXStateBkp-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 18.672 BMXState-{00000000-00000000-0000000A-00001102-00000004-00401102}.rfx
19.12.2005 18:30 24 DVCStateBkp-{00000000-00000000-0000000A-00001102-00000004-00401102}.dat
19.12.2005 18:30 24 DVCState-{00000000-00000000-0000000A-00001102-00000004-00401102}.dat
13.12.2005 07:13 176.167 rmoc3260.dll
13.12.2005 07:13 5.632 pndx5032.dll
13.12.2005 07:13 6.656 pndx5016.dll
13.12.2005 07:13 278.528 pncrt.dll
05.12.2005 06:12 28.672 vxblock.dll
05.12.2005 06:12 56.832 pxcpya64.exe
05.12.2005 06:12 172.032 pxmas.dll
05.12.2005 06:12 339.968 px.dll
05.12.2005 06:12 339.968 pxwave.dll
05.12.2005 06:12 405.504 pxdrv.dll
05.12.2005 06:12 61.440 pxhpinst.exe
05.12.2005 06:12 56.320 pxinsa64.exe
LOG2
Verzeichnis von C:\DOKUME~1\HANSBL~1\LOKALE~1\Temp
22.03.2006 12:01 2.089.678 jar_cache28662.tmp
22.03.2006 12:01 218 TB2OverwriteHandler.log
22.03.2006 12:01 110 newtb1handler.log
22.03.2006 12:01 222 jusched.log
LOG3
Verzeichnis von C:\WINDOWS
22.03.2006 11:54 0 keyboard41.dat
22.03.2006 11:54 0 0.log
22.03.2006 11:54 159 wiadebug.log
22.03.2006 11:54 50 wiaservc.log
22.03.2006 11:53 2.048 bootstat.dat
22.03.2006 11:52 57.922 WindowsUpdate.log
22.03.2006 11:39 911.387 setupapi.log
21.03.2006 22:05 43 drsmartload2.dat
21.03.2006 22:05 578.560 Installer.exe
21.03.2006 22:05 0 dh.ini
21.03.2006 22:05 0 newname.dat
21.03.2006 22:05 45.056 newname4.exe
21.03.2006 22:05 65.536 mousepad4.exe
21.03.2006 22:05 40 teller2.chk
21.03.2006 22:05 20.480 keyboard4.exe
21.03.2006 21:21 116 NeroDigital.ini
21.03.2006 17:56 37.711 wmsetup.log
16.03.2006 17:45 2.202 scummvm.ini
13.02.2006 00:48 435 system.ini
13.02.2006 00:48 498 win.ini
13.02.2006 00:44 361.274 ntbtlog.txt
08.02.2006 18:52 874 ODBC.INI
06.02.2006 21:04 187.297 setupact.log
06.02.2006 12:39 24.443 Hans Bliss8.xlb
05.02.2006 18:38 33 quark.ini
26.01.2006 22:03 107.132 UninstallFirefox.exe
26.01.2006 22:02 5.669 mozver.dat
23.01.2006 20:35 29 ACDILab.INI
23.01.2006 18:23 12.265 vpd.properties
22.01.2006 22:36 2.359.350 Firefox Wallpaper.bmp
19.01.2006 16:21 9.728 Hans Bliss.pcb
14.01.2006 18:58 5.322 Norton Utilities.log
14.01.2006 18:56 1.743 SYMINST.LOG
11.01.2006 22:35 324 wmsetup10.log
11.01.2006 22:34 316.640 WMSysPr9.prx
08.01.2006 20:26 32 wininit.ini
03.01.2006 17:45 1.989 uninstall_nmon.vbs
13.12.2005 07:15 1.947 cdplayer.ini
13.12.2005 07:04 724.992 iun6002.exe
LOG4
Verzeichnis von C:\
22.03.2006 12:03 0 sys.txt
22.03.2006 12:03 7.215 system.txt
22.03.2006 12:03 458 systemtemp.txt
22.03.2006 12:03 106.263 system32.txt
22.03.2006 11:53 536.399.872 hiberfil.sys
22.03.2006 11:53 805.306.368 pagefile.sys
21.03.2006 22:05 299.624 WHCC2.exe
21.03.2006 22:05 28.672 drsmartload1.exe
13.02.2006 00:48 211 boot.ini
20.01.2006 15:05 0 ________
Bei mir öffnet sich ständig ungefragt Firefox mit irgendwelchen doofen Werbeseiten, unter anderem T-Com Werbung
Wäre schön, wenn ihr mir helfen könntet...
Vielen Dank im Vorraus...
Gruß Blans
Ach ja, hier noch mein HijackThis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 12:21:43, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Network Monitor\netmon.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\windows\mousepad4.exe
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Hans Bliss\Desktop\HijackThis.exe
C:\WINDOWS\system32\HPBPRO.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard4.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad4.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname4.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [mouf] C:\PROGRA~1\GEMEIN~1\mouf\moufm.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WEB.DE Quick-Start.lnk = ?
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131656735984
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: SharedDlls - C:\WINDOWS\system32\p2n8lc5u1f.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGFucyBVbHJpY2ggQmxpc3M\command.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
Außerdem hat AntiVir noch die folgenden Trojaner gefunden:
TR/Click.Small.JF.1
TR/Dldr.VB.NA
Habt ihr betreffend diese auch noch Infos?
__________
Die Antwort: 42