Your Computer is infected! |
||
---|---|---|
#0
| ||
25.03.2006, 01:53
...neu hier
Beiträge: 8 |
||
|
||
25.03.2006, 12:26
Member
Beiträge: 686 |
#2
Sieht so aus, als hättest du den SPY SHERIFF drauf oder SPYBOT-CY.
Mach mal erst eine automatische Auswertung deines Log bei www.hijackthis.de Fixe dann die beiden als böse bezeichneten roten Einträge "winstall.exe". Schau dir die gelben Warnungen an, ob du die Programme kennst. Neustart. Wenn das Problem wieder auftaucht: Wende dich im Bereich Viren an die Experten. Gruß Reinhart |
|
|
||
26.03.2006, 23:01
Ehrenmitglied
Beiträge: 29434 |
#3
tschubbi
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.03.2006, 19:43
...neu hier
Themenstarter Beiträge: 8 |
#4
Verzeichnis von C:\WINDOWS\system32
28.02.2006 22:53 146.650 BuzzingBee.wav 28.02.2006 22:53 940.794 LoopyMusic.wav 28.02.2006 21:45 2.270 nmp.log 28.02.2006 21:44 100 _nvidia_xxx_.log 28.02.2006 21:23 399 app_filter_ui.log 28.02.2006 21:13 261 $winnt$.inf 28.02.2006 21:09 2.951 CONFIG.NT 28.02.2006 21:09 16.832 amcompat.tlb 28.02.2006 21:09 23.392 nscompat.tlb 28.02.2006 21:08 488 logonui.exe.manifest 28.02.2006 21:08 488 WindowsLogon.manifest 28.02.2006 21:08 749 nwc.cpl.manifest 28.02.2006 21:08 749 cdplayer.exe.manifest 28.02.2006 21:08 749 ncpa.cpl.manifest 28.02.2006 21:08 749 wuaucpl.cpl.manifest 28.02.2006 21:08 749 sapi.cpl.manifest 28.02.2006 21:06 21.740 emptyregdb.dat 28.02.2006 04:50 0 h323log.txt 23.02.2006 11:22 348.160 msvcr71.dll 23.02.2006 11:22 1.047.552 mfc71u.dll 23.02.2006 11:22 57.344 avsda.dll 26.01.2006 20:36 716.800 divxdec.ax 26.01.2006 20:36 574.976 DivX.dll 26.01.2006 20:35 679.936 divx_xx07.dll 26.01.2006 20:35 679.936 divx_xx0c.dll 26.01.2006 20:35 663.552 divx_xx11.dll 24.01.2006 20:34 118.784 sirenacm.dll 24.01.2006 20:08 12.288 DivXWMPExtType.dll 09.01.2006 21:32 86.016 dpl100.dll 09.01.2006 21:32 593.920 dpuGUI11.dll 09.01.2006 21:32 200.704 dtu100.dll 09.01.2006 21:32 339.968 dpus11.dll 09.01.2006 21:32 57.344 dpv11.dll 09.01.2006 21:32 294.912 dpu11.dll 09.01.2006 21:32 294.912 dpu10.dll 05.12.2005 22:51 10.716 dsm_ja.qm 05.12.2005 22:51 15.331 dsm_de.qm 05.12.2005 22:51 15.172 dsm_fr.qm 05.12.2005 07:12 28.672 vxblock.dll 05.12.2005 07:12 56.832 pxcpya64.exe 23.11.2005 06:00 778.240 DivXsm.exe 23.11.2005 06:00 4.276 divxsm.tlb 17.11.2005 18:19 421.888 pxdrv.dll 17.11.2005 18:19 108.544 pxcpyi64.exe 17.11.2005 18:19 109.568 pxinsi64.exe 17.11.2005 18:19 172.032 pxmas.dll 17.11.2005 18:19 372.736 px.dll 17.11.2005 18:19 61.440 pxhpinst.exe 17.11.2005 18:19 56.320 pxinsa64.exe 17.11.2005 18:19 339.968 pxwave.dll Verzeichnis von C:\DOKUME~1\MPPEL~1\LOKALE~1\Temp 27.03.2005 20:38 240 datFind.zip 27.03.2005 20:36 16.384 ~DFCCE9.tmp 27.03.2005 20:36 512 ~DFB167.tmp 27.03.2005 20:36 16.384 ~DFAD58.tmp 27.03.2005 20:36 206 jusched.log 27.03.2005 19:08 16.384 ~DFD6C6.tmp 27.03.2005 19:08 16.384 ~DFF5B7.tmp 7 Datei(en) 66.494 Bytes 0 Verzeichnis(se), 1.042.157.568 Bytes frei Verzeichnis von C:\WINDOWS 28.02.2006 22:30 169 RtlRack.ini 28.02.2006 21:45 109 nmp.log 28.02.2006 21:45 0 _nvidia_xxx_.log 28.02.2006 21:24 1.454 COM+.log 28.02.2006 21:15 829 OEWABLog.txt 28.02.2006 21:15 769.197 setuplog.txt 28.02.2006 21:14 8.192 REGLOCS.OLD 28.02.2006 21:13 4.382 imsins.BAK 28.02.2006 21:09 0 control.ini 28.02.2006 21:09 4.161 ODBCINST.INI 28.02.2006 21:08 749 WindowsShell.Manifest 28.02.2006 21:07 1.023 sessmgr.setup.log 28.02.2006 21:06 37 vbaddin.ini 28.02.2006 21:06 36 vb.ini 28.02.2006 21:04 200 cmsetacl.log 28.02.2006 04:22 0 Sti_Trace.log 28.02.2006 04:19 1.348 regopt.log 28.02.2006 04:19 231 system.ini 28.02.2006 04:17 0 setuperr.log 17.08.2005 12:39 90.112 SOUNDMAN.EXE 27.03.2005 20:36 243.772 WindowsUpdate.log Verzeichnis von C:\ 28.02.2006 21:09 0 IO.SYS 28.02.2006 21:09 0 MSDOS.SYS 28.02.2006 21:09 0 CONFIG.SYS 28.02.2006 21:09 0 AUTOEXEC.BAT 28.02.2006 21:04 211 boot.ini 27.03.2005 20:42 0 sys.txt 27.03.2005 20:41 4.968 system.txt 27.03.2005 20:40 588 systemtemp.txt 27.03.2005 20:38 95.235 system32.txt 27.03.2005 19:07 1.610.612.736 pagefile.sys 05.08.2004 14:00 4.952 bootfont.bin 05.08.2004 14:00 47.564 NTDETECT.COM 05.08.2004 14:00 251.184 ntldr 13 Datei(en) 1.611.017.438 Bytes 0 Verzeichnis(se), 1.042.141.184 Bytes frei |
|
|
||
28.03.2006, 01:15
Ehrenmitglied
Beiträge: 29434 |
#5
tschubbi
1. Click Start>> Ausfuehren>> schreibe rein--> Services.msc und Click OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" MSDN Driver (msdndr) 2. Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K. sc delete 32bit MSDN Driver 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) MSDN Driver in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) msdndr.pif in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 4. Start > Ausfuehren --> reinschreiben --> cmd.exe und ok. kopiere rein und poste alles, was im Texteditor erscheint Zitat dir /s /a "c:\msdndr*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 15:21
...neu hier
Themenstarter Beiträge: 8 |
#6
Zitat 1.welches von den diensten soll ich denn markieren?bzw das oben geschriebene durchführen? |
|
|
||
28.03.2006, 15:25
Ehrenmitglied
Beiträge: 29434 |
#7
MSDN Driver (msdndr) ...diesen Dienst musst du deaktivieren
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.03.2006, 18:34
...neu hier
Themenstarter Beiträge: 8 |
#8
den find ich nich in der liste
|
|
|
||
28.03.2006, 20:09
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.04.2006, 14:18
...neu hier
Themenstarter Beiträge: 8 |
#10
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 03.04.2005 14:11:46 for strings: ; 'msdn driver' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR\0000] "DeviceDesc"="MSDN Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr] "DisplayName"="MSDN Driver" "Description"="MSDN Driver Detect" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR\0000] "DeviceDesc"="MSDN Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr] "DisplayName"="MSDN Driver" "Description"="MSDN Driver Detect" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR\0000] "DeviceDesc"="MSDN Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr] "DisplayName"="MSDN Driver" "Description"="MSDN Driver Detect" [HKEY_USERS\S-1-5-21-515967899-1482476501-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] "a"="sc delete 32bit MSDN Driver\\1" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 03.04.2005 14:13:26 for strings: ; 'msdndr.pif' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr] ; Contents of value: ; C:\WINDOWS\system32\msdndr.pif "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr] ; Contents of value: ; C:\WINDOWS\system32\msdndr.pif "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr] ; Contents of value: ; C:\WINDOWS\system32\msdndr.pif "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\ 6d,73,64,6e,64,72,2e,70,69,66,00 ; End Of The Log... |
|
|
||
03.04.2006, 16:46
Ehrenmitglied
Beiträge: 29434 |
#11
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint dir /s /a "c:\msdndr*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\prxsvc*.*" > c:\find.txt & start notepad c:\find.txt dir /s /a "c:\winstall*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.04.2006, 20:42
...neu hier
Themenstarter Beiträge: 8 |
#12
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A0E6-CE94 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A0E6-CE94 Verzeichnis von c:\WINDOWS\Prefetch 28.03.2005 16:18 53.566 PRXSVC.EXE-1827484E.pf 1 Datei(en) 53.566 Bytes Verzeichnis von c:\WINDOWS\system32 05.08.2004 14:00 61.440 prxsvc.exe 1 Datei(en) 61.440 Bytes Anzahl der angezeigten Dateien: 2 Datei(en) 115.006 Bytes 0 Verzeichnis(se), 767.815.680 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A0E6-CE94 |
|
|
||
05.04.2006, 01:11
Ehrenmitglied
Beiträge: 29434 |
#13
tschubbi
msdndr.pif -> Information http://virus-protect.org/artikel/dienste/prxsvc.html 1. da ein Rootkit auf dem PC ist, brauche ich noch folgeñdes Log: (ich muss die sys vom Haxdoor finden.....) RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html --------------------------------------------------------------------------- 2. Zitat Lade die haxfix.exe http://users.telenet.be/marcvn/tools/haxfix.exe runter. Speichere sie auf deinem Desktop.3. Start -- Ausführen -- regedit (reinschreiben) bearbeiten - suchen - MSDNDR Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDNDR\0000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msdndr [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDNDR\0000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\msdndr [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDNDR\0000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdndr 4. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ..... C:\winstall.exe c:\WINDOWS\Prefetch\PRXSVC.EXE-1827484E.pf c:\WINDOWS\system32\prxsvc.exe C:\WINDOWS\system32\prxsvc.dll C:\WINDOWS\system32\dofcpr.dll C:\WINDOWS\nmp.log C:\WINDOWS\system32\msdndr.pif PC neustarten 5. nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell ------------------------------------------------------------------------- 6. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe O21 - SSODL: prxsvc - {725A9115-9EBB-42D6-BFC0-B1579CF4184F} - prxsvc.dll (file missing) O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif PC neustarten 7. arbeite smitfraud genau nach Anweisung ab ..ich wuerde mich dann fuer den Scanreport interessieren (also die smitfraud.txt hier posten) http://virus-protect.org/artikel/tools/smitfrautfix.html 8. dann scanne Online mit Kaspersky und poste hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2006, 16:18
...neu hier
Themenstarter Beiträge: 8 |
#14
1:HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BEHAVIORS\* 28.02.2006 21:09 4 bytes Hidden from Windows API.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_DISABLE_MK_PROTOCOL\* 28.02.2006 21:09 4 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.exe 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.exe 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.bat 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.bat 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.cmd 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.cmd 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*setup*.com 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*instal*.com 28.02.2006 21:08 2 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\** 04.04.2005 19:13 50 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\*** 04.04.2005 19:13 60 bytes Hidden from Windows API. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Accepted Documents\* 04.04.2005 19:13 38 bytes Hidden from Windows API. C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP36\A0005465.sys 31.03.2005 07:22 3.26 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP37\A0005531.sys 31.03.2005 13:37 3.26 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP39\A0006555.sys 02.04.2005 11:30 3.26 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP40\A0006608.sys 03.04.2005 13:36 3.26 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006888.sys 05.04.2005 07:51 3.26 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\system32\msdndr.dat 24.03.2005 14:49 8 bytes Hidden from Windows API. C:\WINDOWS\system32\msdndr.pif 24.03.2005 14:49 47.08 KB Hidden from Windows API. C:\WINDOWS\system32\msdndr.sys 05.04.2005 14:24 3.26 KB Hidden from Windows API. 2:No matching services found. haxdoorkey has not been added 3: »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m”ppel\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}"="Automation Object" [HKEY_CLASSES_ROOT\CLSID\{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}\InProcServer32] @="C:\WINDOWS\system32\gbbe.dll" [HKEY_CURRENT_USER\Software\Classes\CLSID\{B427BFD7-8087-447e-8FC4-EFDFE6534FF1}\InProcServer32] @="C:\WINDOWS\system32\gbbe.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Im abgesicherten modus: SmitFraudFix v2.28 Scan done at 15:44:11,89, 05.04.2005 Run from D:\Programme\smitfraud\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» End 4:------------------------------------------------------------------------------- KASPERSKY ON-LINE SCANNER REPORT Tuesday, April 05, 2005 4:16:07 PM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 5/04/2006 Kaspersky Anti-Virus database records: 175131 ------------------------------------------------------------------------------- Scan Settings: Scan using the following antivirus database: standard Scan Archives: true Scan Mail Bases: true Scan Target - My Computer: A:\ C:\ D:\ E:\ Scan Statistics: Total number of scanned objects: 50091 Number of viruses found: 4 Number of infected objects: 8 Number of suspicious objects: 0 Duration of the scan process: 00:20:46 Infected Object Name / Virus Name / Last Action C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP31\A0004919.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006904.exe Infected: Backdoor.Win32.Agent.tx skipped C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006905.dll Infected: Backdoor.Win32.Agent.tx skipped C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006906.pif Infected: Backdoor.Win32.HacDef.eq skipped C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006914.dll Infected: Backdoor.Win32.Agent.tx skipped C:\System Volume Information\_restore{B2DDE4B1-BC6C-4E55-AE82-96AD4F489CB8}\RP41\A0006917.exe Infected: Backdoor.Win32.Agent.tx skipped C:\WINDOWS\system32\scmt16.exe Infected: Trojan-Downloader.Win32.Small.ckj skipped C:\WINDOWS\t2.exe Infected: not-virus:Hoax.Win32.Renos.ca skipped Scan process completed. |
|
|
||
05.04.2006, 22:07
Ehrenmitglied
Beiträge: 29434 |
#15
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. loesche mit der Killbox C:\WINDOWS\system32\msdndr.dat C:\WINDOWS\system32\msdndr.pif C:\WINDOWS\system32\msdndr.sys C:\WINDOWS\system32\scmt16.exe C:\WINDOWS\t2.exe neustarten 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) msdndr in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
also ich habe unten rechts neben der uhr einen rotenkreis mit einem weißen X drin... Your computer is infected...!
hier das HJ-log... und nu?
Logfile of HijackThis v1.99.1
Scan saved at 01:47:25, on 25.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\emMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe
C:\winstall.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MPPEL~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.4\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [emMonitor] C:\WINDOWS\emMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] D:\Spiele\hl2\\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://billing.goa.com/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30939558-44C2-4DB8-8866-F6D23F5AD6C1}: NameServer = 145.253.2.11,145.253.2.75
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: prxsvc - {725A9115-9EBB-42D6-BFC0-B1579CF4184F} - prxsvc.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: MSDN Driver (msdndr) - Unknown owner - C:\WINDOWS\system32\msdndr.pif
danke
mfg