Dauernd öffnen sich Fenster mit Werbung beim Surfen

#0
29.03.2006, 16:21
...neu hier

Beiträge: 5
#1 Hallo liebes Forum,

vorab ein großes Lob an diese Forum und deren Betreiber.

Habe schon eineiges durchgearbeite ,komme jetzt aber nicht mehr weiter bzw. die Werbefenster kommen immer noch.

Hier habe ich mein Hijack Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 16:11:46, on 29.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\stärk\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
O1 - Hosts: 212.227.126.5 lyra2
O1 - Hosts: 212.227.126.12 mapibe02
O1 - Hosts: 212.227.126.14 mapibe03
O1 - Hosts: 212.227.126.2 mapibe04
O1 - Hosts: 212.227.126.8 mapibe07
O1 - Hosts: 195.20.242.166 mapibe10
O1 - Hosts: 195.20.242.167 mapibe11
O1 - Hosts: 195.20.242.168 mapibe12
O1 - Hosts: 195.20.242.165 mapibe09
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3AF44FD8-E1F2-52F0-AC7E-EE42A0873E51} - C:\DOKUME~1\STRK~1\ANWEND~1\ONECOM~1\download internet.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BallStore] C:\DOKUME~1\STRK~1\ANWEND~1\ISOIDO~1\ScrMoveShim.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03BCF80B-B975-498C-B9CC-1F517915995A} (Office2003.Install) - https://secure.interfax.net/Office2003.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135092382200
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.expressphoto.de/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F839810-38AE-44E1-BCAA-2D2841702470}: NameServer = 194.25.2.129,0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe


Clean up habe ich auch schon ausgeführt, mit den Einstellungen wie in verschieden andren Treads beschrieben.

Hier die 4 Texdateien der verschieden Verzeichnise (mit datfindbat)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4A5-BF84

Verzeichnis von C:\WINDOWS\system32

29.03.2006 12:33 13.002 wpa.dbl
29.03.2006 11:54 231.984 FNTCACHE.DAT
29.03.2006 11:44 8.464 sporder.dll
27.03.2006 14:19 383.390 perfh009.dat
27.03.2006 14:19 53.744 perfc009.dat
27.03.2006 14:19 394.830 perfh007.dat
27.03.2006 14:19 64.796 perfc007.dat
27.03.2006 14:19 906.552 PerfStringBackup.INI
10.03.2006 02:10 4.799.320 MRT.exe
26.01.2006 13:41 1.398 mapisvc.inf
25.01.2006 05:34 118.784 sirenacm.dll
16.01.2006 19:42 43.200 lmdimon.dll
04.01.2006 05:35 68.096 webclnt.dll
29.12.2005 04:54 280.064 gdi32.dll
21.12.2005 15:38 16.832 amcompat.tlb
21.12.2005 15:38 23.392 nscompat.tlb
20.12.2005 18:15 263 spupdwxp.log
20.12.2005 16:47 25.065 wmpscheme.xml
20.12.2005 16:47 12.922 wpa.bak
20.12.2005 16:44 261 $winnt$.inf
20.12.2005 16:40 2.951 CONFIG.NT
20.12.2005 16:38 488 WindowsLogon.manifest
20.12.2005 16:38 488 logonui.exe.manifest
20.12.2005 16:38 749 cdplayer.exe.manifest
20.12.2005 16:38 749 wuaucpl.cpl.manifest
20.12.2005 16:38 749 sapi.cpl.manifest
20.12.2005 16:38 749 nwc.cpl.manifest
20.12.2005 16:38 749 ncpa.cpl.manifest
20.12.2005 16:35 21.740 emptyregdb.dat
20.12.2005 16:31 0 h323log.txt
06.12.2005 07:02 5.533.696 wmp.dll
01.12.2005 05:31 1.492.480 shdocvw.dll
24.11.2005 01:58 1.022.464 browseui.dll
24.11.2005 01:58 3.013.632 mshtml.dll
09.11.2005 18:13 475.136 mgxoschk.dll
05.11.2005 05:16 606.208 urlmon.dll
05.11.2005 05:16 1.056.256 danim.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4A5-BF84

Verzeichnis von C:\DOKUME~1\STRK~1\LOKALE~1\Temp

23.01.2006 15:36 429 datFind.bat
1 Datei(en) 429 Bytes
0 Verzeichnis(se), 27.567.120.384 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4A5-BF84

Verzeichnis von C:\WINDOWS

29.03.2006 15:27 893 Active Setup Log.txt
29.03.2006 15:17 0 0.log
29.03.2006 15:17 50 wiaservc.log
29.03.2006 15:17 1.638.648 WindowsUpdate.log
29.03.2006 15:17 159 wiadebug.log
29.03.2006 15:16 2.048 bootstat.dat
29.03.2006 15:16 27.524 SchedLgU.Txt
29.03.2006 14:49 180.567 setupact.log
29.03.2006 14:37 116.374 ntbtlog.txt
29.03.2006 12:11 0 homeDVD-Fotos5.INI
29.03.2006 11:45 183.296 NDNuninstall7_22.exe
29.03.2006 11:28 0 RingtoneMaker.INI
29.03.2006 11:15 47.725 wmsetup.log
29.03.2006 11:15 752.858 setupapi.log
29.03.2006 10:26 116 NeroDigital.ini
28.03.2006 15:23 1.031 tworks42.ini
22.03.2006 13:13 50.584 cdPlayer.ini
21.03.2006 14:25 715 win.ini
17.02.2006 18:10 286.720 Setup1.exe
17.02.2006 18:10 74.752 ST6UNST.EXE
16.02.2006 13:23 29.871 spupdsvc.log
16.02.2006 13:19 528.355 iis6.log
16.02.2006 13:19 84.538 ntdtcsetup.log
16.02.2006 13:19 138.671 comsetup.log
16.02.2006 13:19 1.374 imsins.log
16.02.2006 13:19 13.812 tabletoc.log
16.02.2006 13:19 184.287 tsoc.log
16.02.2006 13:19 20.994 ocmsn.log
16.02.2006 13:19 10.632 KB911927.log
16.02.2006 13:19 49.038 netfxocm.log
16.02.2006 13:19 21.345 medctroc.Log
16.02.2006 13:19 198.579 ocgen.log
16.02.2006 13:19 19.849 msgsocm.log
16.02.2006 13:19 379.819 FaxSetup.log
16.02.2006 13:19 136.754 msmqinst.log
16.02.2006 13:19 14.383 updspapi.log
16.02.2006 13:19 1.374 imsins.BAK
16.02.2006 13:19 6.049 KB911564.log
16.02.2006 13:19 6.732 KB911565.log
16.02.2006 13:19 6.632 KB913446.log
13.02.2006 10:46 295 Q321064.log
31.01.2006 13:54 831 MKDEMSG.LOG
31.01.2006 13:49 3.321 tm.ini
31.01.2006 13:46 1.024 MKDEWE.TRN
25.01.2006 17:57 794 DirectX.log
23.01.2006 18:05 316.640 WMSysPr9.prx
11.01.2006 16:39 10.147 KB908519.log
09.01.2006 11:18 11.018 KB912919.log
05.01.2006 17:24 580 WISO.INI
05.01.2006 16:41 4.359 ODBCINST.INI
05.01.2006 16:41 666 KB829558.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4A5-BF84

Verzeichnis von C:\

29.03.2006 16:19 0 sys.txt
29.03.2006 16:18 8.362 system.txt
29.03.2006 16:18 293 systemtemp.txt
29.03.2006 16:14 101.378 system32.txt
29.03.2006 15:16 1.006.632.960 pagefile.sys
17.02.2006 14:28 26.208 ASPI.LOG
21.12.2005 13:44 66 desktop.ini
20.12.2005 18:10 211 boot.ini
20.12.2005 18:04 47.564 NTDETECT.COM
20.12.2005 18:04 251.184 ntldr
20.12.2005 16:40 0 MSDOS.SYS
20.12.2005 16:40 0 IO.SYS
20.12.2005 16:40 0 AUTOEXEC.BAT
20.12.2005 16:40 0 CONFIG.SYS
18.08.2001 14:00 4.952 bootfont.bin
15 Datei(en) 1.007.073.178 Bytes
0 Verzeichnis(se), 27.567.104.000 Bytes frei


Vielen Dank im Voraus für die Hilfe.
Seitenanfang Seitenende
29.03.2006, 20:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 flash1904

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

wenn du diese Host-Eintraege nicht kennst...bitte fixen

O1 - Hosts: 212.227.126.5 lyra2
O1 - Hosts: 212.227.126.12 mapibe02
O1 - Hosts: 212.227.126.14 mapibe03
O1 - Hosts: 212.227.126.2 mapibe04
O1 - Hosts: 212.227.126.8 mapibe07
O1 - Hosts: 195.20.242.166 mapibe10
O1 - Hosts: 195.20.242.167 mapibe11
O1 - Hosts: 195.20.242.168 mapibe12
O1 - Hosts: 195.20.242.165 mapibe09

O2 - BHO: (no name) - {3AF44FD8-E1F2-52F0-AC7E-EE42A0873E51} - C:\DOKUME~1\STRK~1\ANWEND~1\ONECOM~1\download internet.exe
O4 - HKCU\..\Run: [BallStore] C:\DOKUME~1\STRK~1\ANWEND~1\ISOIDO~1\ScrMoveShim.exe

PC neustarten

abarbeiten:

http://virus-protect.org/artikel/spyware/lop1.html

die zu loeschenden Dateien sind:


C:\WINDOWS\system32\sporder.dll
C:\WINDOWS\NDNuninstall7_22.exe

C:\Dokumente und Einstellungen\STRK~1\Anwendungsdaten\ONECOM...
C:\Dokumente und Einstellungen\STRK~1\Anwendungsdaten\ISOIDO...

es fehlt die dritte...ich kann sie nicht sehen, der Panda-Scan wird sie hoffentlich finden..

----------------------------------------------------------------------------------------

wenn alles abgearbeitet ist:...Onlinescan mit Panda usw...und alles manuell geloescht ist...

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.03.2006, 17:17
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,

vielen Dank für die schnelle Antwort und Hilfe. Habe alles so gemacht wie Du geschrieben hast, hier die Locate findjobs.bat


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C4A5-BF84

Verzeichnis von C:\WINDOWS\tasks

30.03.2006 14:39 <DIR> .
30.03.2006 14:39 <DIR> ..
30.03.2006 16:00 270 ADD4F54F9187687B.job
18.08.2001 14:00 65 desktop.ini
30.03.2006 17:11 6 SA.DAT
3 Datei(en) 341 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\st„rk\Desktop


Ist alles Okay ? muss/soll ich jetzt noch was machen ?

Vielen Dank nochmals
viele Grüße

Sabinaund hier noch die Logfile of HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 17:22:42, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\stärk\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3AF44FD8-E1F2-52F0-AC7E-EE42A0873E51} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Intra Eggs Acid Title] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\skip 64 intra eggs\wma itch.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BallStore] C:\DOKUME~1\STRK~1\ANWEND~1\ISOIDO~1\ScrMoveShim.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03BCF80B-B975-498C-B9CC-1F517915995A} (Office2003.Install) - https://secure.interfax.net/Office2003.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135092382200
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.expressphoto.de/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F839810-38AE-44E1-BCAA-2D2841702470}: NameServer = 194.25.2.129,0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe
Dieser Beitrag wurde am 30.03.2006 um 17:24 Uhr von flash1904 editiert.
Seitenanfang Seitenende
31.03.2006, 00:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 flash1904

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [Intra Eggs Acid Title] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\skip 64 intra eggs\wma itch.exe
O4 - HKCU\..\Run: [BallStore] C:\DOKUME~1\STRK~1\ANWEND~1\ISOIDO~1\ScrMoveShim.exe

PC neustarten

1.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h ADD4F54F9187687B.job
del ADD4F54F9187687B.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

2.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

3.
scanne mit Panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 14:03
...neu hier

Themenstarter

Beiträge: 5
#5 @Sabina


Hier den Panda Scanreport

Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\stärk\Cookies\stärk@as-eu.falkag[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\stärk\Cookies\stärk@atdmt[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\stärk\Cookies\stärk@sel.as-eu.falkag[1].txt

(Ich meine ich hätte die schonmal gelöscht gehabt ?)

viele Grüße und Danke
Seitenanfang Seitenende
31.03.2006, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 die cookies sind kein problem

poste das neue log vom hijackthis, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 14:14
...neu hier

Themenstarter

Beiträge: 5
#7 @Sabina

Hier der aktuelle..

Logfile of HijackThis v1.99.1
Scan saved at 14:13:03, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Dokumente und Einstellungen\stärk\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/nwshp?hl=de&tab=wn&q=
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3AF44FD8-E1F2-52F0-AC7E-EE42A0873E51} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03BCF80B-B975-498C-B9CC-1F517915995A} (Office2003.Install) - https://secure.interfax.net/Office2003.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135092382200
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.expressphoto.de/ImageUploader3.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F839810-38AE-44E1-BCAA-2D2841702470}: NameServer = 194.25.2.129,0.0.0.0
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe


Vielen Dank für die schnelle Antwort
Seitenanfang Seitenende
01.04.2006, 00:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 es muesste alles wieder in Ordnung sein... wie laeuft es ???
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2006, 09:21
...neu hier

Themenstarter

Beiträge: 5
#9 Allles bestens, vielen ,vielen Dank für die schnelle und vorallem Fachkundige Hilfe.

viele Grüße

flash1904
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »