habe Trojan.zlobThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
15.06.2006, 21:01
...neu hier
Beiträge: 2 |
||
|
||
15.06.2006, 21:20
Ehrenmitglied
Beiträge: 29434 |
#32
Marie Huana
öffne das HijackThis -- Button "scan" -- vor dieEinträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: 216.40.230.4 desktop.kazaa.comPC neustarte 1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 3. SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.zip Anleitung: http://virus-protect.org/artikel/tools/smitfrautfix.html 1. doppelklick smitfraudfix.cmd 2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) 3. doppelklick smitfraudfix.cmd 4. schreibe: 2 auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n] die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... wenn der Scan beeendet ist, kopiere die Logfile ab [C:\rapport.txt] ------------------------------------------------------------- 4. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann nach der Reinigung wieder aktivieren) 5. loeschen (deinstallieren) C:\Programme\Gemeinsame Dateien\Totem Shared C:\Go!Zilla\weatherbug C:\Go!Zilla\ kazaa 7. Counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab 8. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 9.. dann suche C:\avenger\backup.zip und loeschen und berichte ------- p.s. lass dich mit dem anscheinend gecrackten C:\Corel\Corel Graphics 12 nicht erwischen Im Key, den du dir wahrscheinlich ueber ein P2P-Proggie geladen hast, ist normalerweise mehr als der key...da sind auch Trojaner mit drin, meiner Erfahrung nach. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.06.2006, 01:27
...neu hier
Beiträge: 2 |
#33
Die Trojaner haben sich anscheinend verkrümmelt.
Ich vermute das ich die mir über ein Media-Codec eingefangen habe welches ich kürzlich installiert habe. Was die Graphics Suit angeht, so wundert es mich doch sehr (ebenso Kazaa und Go!Zilla) das die überhaupt noch auftauchen. Alle drei Anwendungen befinden sich seit über einem Jahr nicht mehr auf meinem Rechner ... na ja ich hoffe ich hab den Restmüll jetzt entsorgt Danke |
|
|
||
16.06.2006, 06:12
...neu hier
Beiträge: 1 |
#34
Hallo, Zusammen,
hatte mir den Zlob auch beim Downloaden eines Codecs eingefangen, aber dank der Tipps bei Euch bin ich jetzt erlöst, hoffentlich. Mir hat SmitFraudFix geholfen. Vielen Dank an Euer Team, Martin |
|
|
||
19.06.2006, 19:43
Member
Beiträge: 13 |
#35
hallo,
sorry dass ich erst jetzt wieder schreibe,war kurz im urlaub.aber jetzt gehts wieder los! hier der scan report: Spyware Scan Details Start Date: 19.06.2006 19:01:37 End Date: 19.06.2006 19:21:47 Total Time: 20 mins 10 secs Detected spyware DesktopScam Trojan Downloader more information... Details: DesktopScam is a trojan that is downloaded with rogue security applicatons in order to frighten the affected user into purchasing the rogue program. Status: Deleted Infected files detected c:\dokumente und einstellungen\all users\startmenü\security troubleshooting.url c:\dokumente und einstellungen\all users\startmenü\online security guide.url SystemDoctor Rogue Security Program more information... Status: Deleted Infected files detected C:\!KillBox\00601471.exe C:\!KillBox\00601474.exe C:\!KillBox\00601475.exe Advertising.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@advertising[2].txt ATDMT.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@atdmt[2].txt DoubleClick Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@doubleclick[1].txt Hitbox.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@hitbox[1].txt Mediaplex.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@mediaplex[1].txt SexList.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@sexlist[1].txt Radar Spy 1.0 Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@tradedoubler[1].txt Spyass.com Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@www.pics[1].txt Ajan 1.0 Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count Status: Deleted Infected cookies detected c:\dokumente und einstellungen\stephan\cookies\stephan@xiti[1].txt gruß svidi |
|
|
||
20.06.2006, 00:24
Ehrenmitglied
Beiträge: 29434 |
#36
svidi
poste bitte die 4 Logs von datfindbat noch mal und auch das Log vom HijackThis (zur Ueberpruefung) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.06.2006, 18:32
Member
Beiträge: 13 |
#37
hallo,
Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 19.06.2006 13:36 2.206 wpa.dbl 11.06.2006 11:10 2.550 Uninstall.ico 11.06.2006 11:10 1.406 Help.ico 11.06.2006 11:10 30.590 pavas.ico 10.06.2006 09:59 0 asfiles.txt 09.06.2006 03:19 5.967.776 MRT.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 17:09 3.073.536 mshtml.dll 18.05.2006 07:36 450.560 jscript.dll 11.05.2006 10:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll 29.04.2006 06:07 5.533.696 wmp.dll 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 26.03.2006 11:26 375.542 perfh009.dat 26.03.2006 11:26 51.340 perfc009.dat 26.03.2006 11:26 386.058 perfh007.dat 26.03.2006 11:26 62.166 perfc007.dat 26.03.2006 11:26 884.200 PerfStringBackup.INI 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 04.03.2006 05:34 664.064 wininet.old 01.03.2006 21:43 956.416 msdtctm.dll 01.03.2006 21:43 66.560 mtxclu.dll 01.03.2006 21:43 426.496 msdtcprx.dll 01.03.2006 21:43 161.280 msdtcuiu.dll 01.03.2006 21:43 11.776 xolehlp.dll 01.03.2006 21:43 91.136 mtxoci.dll 31.01.2006 14:35 91.904 S32EVNT1.DLL 20.01.2006 13:39 4.204 OEMINFO.PNF 04.01.2006 05:35 68.096 webclnt.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp 20.06.2006 18:07 857 TWAIN.LOG 20.06.2006 18:07 4 Twain001.Mtx 20.06.2006 18:07 156 Twunk001.MTX 20.06.2006 18:07 4 PMShared 20.06.2006 17:54 49.152 ~DF4BDA.tmp 20.06.2006 17:54 32.768 ~DFCED7.tmp 20.06.2006 17:53 16.384 ~DFE73C.tmp 20.06.2006 13:27 49.152 ~DF4934.tmp 20.06.2006 13:27 32.768 ~DFAC70.tmp 20.06.2006 13:27 16.384 ~DFE739.tmp 19.06.2006 21:50 49.152 ~DF2EDF.tmp 19.06.2006 21:50 32.768 ~DFD987.tmp 19.06.2006 21:50 16.384 ~DFE91F.tmp 19.06.2006 19:38 1.212.416 ~DF7D87.tmp 19.06.2006 19:30 49.152 ~DF54EE.tmp 19.06.2006 19:30 32.768 ~DFD612.tmp 19.06.2006 19:30 16.384 ~DF8A6F.tmp 19.06.2006 19:01 1.212.416 ~DF2262.tmp 19.06.2006 18:59 49.152 ~DFC8D2.tmp 19.06.2006 18:59 32.768 ~DFB4D9.tmp 19.06.2006 18:58 16.384 ~DF4A87.tmp 11.06.2006 10:48 16.384 ~DFA2DE.tmp 09.06.2006 15:22 0 Twunk002.MTX 23 Datei(en) 2.933.757 Bytes 0 Verzeichnis(se), 68.024.094.720 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 20.06.2006 18:08 1.343.516 WindowsUpdate.log 20.06.2006 18:07 723 win.ini 20.06.2006 17:54 0 0.log 20.06.2006 17:54 443.740 setupapi.log 20.06.2006 17:54 6.102 ModemLog_Bluetooth DUN Modem.txt 20.06.2006 17:54 6.096 ModemLog_Bluetooth Fax Modem.txt 20.06.2006 17:54 261 wiadebug.log 20.06.2006 17:54 50 wiaservc.log 20.06.2006 17:54 3.844 ModemLog_Agere Systems PCI Soft Modem.txt 20.06.2006 17:53 2.048 bootstat.dat 20.06.2006 13:39 32.592 SchedLgU.Txt 19.06.2006 21:50 3.087 spupdsvc.log 19.06.2006 20:59 1.374 imsins.log 19.06.2006 20:59 165.033 comsetup.log 19.06.2006 20:59 100.193 ntdtcsetup.log 19.06.2006 20:59 188.291 tsoc.log 19.06.2006 20:59 73.810 iis6.log 19.06.2006 20:59 26.253 ocmsn.log 19.06.2006 20:59 10.221 KB917734.log 19.06.2006 20:59 144.998 wmsetup.log 19.06.2006 20:59 244.471 ocgen.log 19.06.2006 20:59 23.946 msgsocm.log 19.06.2006 20:59 479.838 FaxSetup.log 19.06.2006 20:58 1.374 imsins.BAK 19.06.2006 20:58 13.597 KB918439.log 19.06.2006 20:58 13.957 KB917344.log 19.06.2006 20:58 13.729 KB917953.log 19.06.2006 20:58 17.539 KB916281.log 19.06.2006 20:58 29.543 updspapi.log 19.06.2006 20:58 11.484 KB914389.log 11.06.2006 11:34 116 NeroDigital.ini 11.06.2006 11:10 32 pavsig.txt 09.06.2006 15:20 220.396 setupact.log 09.06.2006 12:14 227 system.ini 09.06.2006 12:08 1.208 EventSystem.log 10.05.2006 19:19 12.097 KB913580.log 28.04.2006 17:49 11.318 KB900485.log 17.04.2006 14:01 16.660 KB908531.log 17.04.2006 14:01 15.893 KB911562.log 17.04.2006 14:01 18.694 KB912812.log 17.04.2006 14:01 14.177 KB911565.log 17.04.2006 14:00 10.894 KB911567.log 17.02.2006 12:50 11.240 KB911927.log 17.02.2006 12:50 7.355 KB911564.log 17.02.2006 12:48 6.697 KB913446.log 11.01.2006 21:27 10.169 KB908519.log 06.01.2006 15:00 11.076 KB912919.log Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\ 20.06.2006 18:30 0 sys.txt 20.06.2006 18:29 10.721 system.txt 20.06.2006 18:29 1.361 systemtemp.txt 20.06.2006 18:28 100.893 system32.txt 20.06.2006 17:53 1.073.270.784 hiberfil.sys 20.06.2006 17:53 1.610.612.736 pagefile.sys 14.06.2006 15:13 10.502 avenger.txt 09.06.2006 15:25 3.568 smitfiles.txt 09.06.2006 12:14 211 boot.ini 07.06.2006 16:19 3.375 DirDPF.txt 07.06.2006 16:19 2 DirDPFCns.txt 07.06.2006 16:18 2.965 look.txt hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 18:31:24, on 20.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\Brmfrmps.exe c:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe c:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\DOKUME~1\Stephan\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CC32E40C-7D6A-4C7B-8C3B-8923F7D8B79E}: NameServer = 205.188.146.145 O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - c:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates International Inc. - c:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Event Log Watch (LogWatch) - Computer Associates - c:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe gruß svidi |
|
|
||
20.06.2006, 23:51
Ehrenmitglied
Beiträge: 29434 |
#38
svidi
es sieht gut aus wenn du den Counterspy nach 14 Tagen nicht kaufst, deinstalliere ihn wieder und lade (kostenlos) http://virus-protect.org/ms.html Alles Gute ----------- P.S. loesche alles, was in der Killbox ist: C:\!KillBox\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.06.2006, 19:01
Member
Beiträge: 13 |
#39
klasse,dass mein pc wieder "gesund" ist! :-)
vielen dank für die tolle hilfe!ich werde euch weiterempfehlen! gruß svidi |
|
|
||
ich habe mir auch den Trojaner TR/Zlob.AD eingefangen. Damit der nicht so einsam ist hat sich noch der TR/Dldr.Zlob.SI.2 dazu gekuschelt (Humor ist wenn man trotzdem lacht ;-))
Hier mal die Logfiles vod datFind:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64B2-1CDB
Verzeichnis von C:\WINDOWS\system32
15.06.2006 20:22 8.192 simpole.tlb
15.06.2006 20:22 4.972 stdole3.tlb
15.06.2006 20:22 47.616 hp102.tmp
15.06.2006 20:22 73.728 dcomcfg.exe
15.06.2006 20:20 12.612 wpa.dbl
15.06.2006 20:15 50.701 ld101.tmp
15.06.2006 20:15 50.176 hp101.tmp
15.06.2006 19:52 41.119 vsconfig.xml
15.06.2006 19:49 50.176 hp100.tmp
15.06.2006 19:49 50.701 ld100.tmp
15.06.2006 19:13 4.286 ot.ico
15.06.2006 19:13 4.286 ts.ico
14.06.2006 23:17 57.384 avsda.dll
12.06.2006 22:12 60.941 regperf.exe
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 285.488 WgaTray.exe
23.05.2006 17:25 402.736 WgaLogon.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
Und noch der HiJack Logfile
Logfile of HijackThis v1.99.1
Scan saved at 20:41:26, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Mp3tag\Mp3tagQuickPick.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\HiJack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp102.tmp
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\FlashGet\jccatch.dll
O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Go!Zilla\GoIEHlp.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tray Temperature] C:\Go!Zilla\weatherbug\minibug.exe 1
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=122905 Seri*hier nicht!*=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\NETSCAPE\NETSCAPE\NETSCP.EXE" -turbo
O4 - Global Startup: Acrobat Assistant.lnk = C:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Mp3tag Quick Pick.lnk = C:\Mp3tag\Mp3tagQuickPick.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Mit FlashGet laden - C:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0\bin\npjpi140_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.0\bin\npjpi140_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {4620BC29-8B8E-4F4E-9D92-1DB6633D6793} (SurferNETWORK Plugin) - http://rd1.surfernetwork.com/surferplugin.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/27bd759c70e20ce80a05/netzip/RdxIE2.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://gisweb3.city.vancouver.bc.ca:8080/web/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104615921125
O16 - DPF: {76D31A21-9402-11D6-97B6-0010DC2A6243} (SecureLogin.SecureControl) - https://secure2.comned.com/signuptemplates/ActiveSecurity.CAB
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {ABAB45AD-4D69-4C01-A4A4-DD105F1EAE61} (mgToolbarPub.Toolbar) - http://citymap.city.nanaimo.bc.ca/activeX/Toolbars.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\AutoCAD 2002\InstFred.ocx
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\AutoCAD 2002\AcPreview.ocx
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache - Unknown owner - C:\EasyPHP\Apache\apache.exe" --ntservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySql - Unknown owner - C:\EasyPHP\MySql\bin\mysqld-nt.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Bin mal gespannt ob Sabina helfen kann. Wäre toll :-)