probleme mit osaupd und wupdmgr.exe |
||
|---|---|---|
| #0
| ||
|
04.04.2006, 13:39
Member
Beiträge: 18 |
||
 
|
|
|
|
05.04.2006, 11:15
Ehrenmitglied
 Beiträge: 29434 |
#2
hardyhell
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.04.2006, 12:32
Member
Themenstarter Beiträge: 18 |
#3
habe das cleanup wie beschrieben laufen lassen.
und hier is der text von datfind den ich danach generiert habe: Verzeichnis von C:\WINDOWS\system32 05.04.2006 12:28 8.076 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 04.04.2006 12:14 0 mswinf32.exe 04.04.2006 12:14 0 mswinf32.dll 04.04.2006 11:57 8.192 udpmod.dll 04.04.2006 11:57 8.192 questmod.dll 04.04.2006 11:57 8.192 jao.dll 04.04.2006 11:57 8.192 bridge.dll 04.04.2006 11:57 8.192 a.exe 04.04.2006 11:57 8.192 runsrv32.exe 04.04.2006 11:57 8.192 txfdb32.dll 04.04.2006 11:57 8.192 runsrv32.dll 04.04.2006 11:57 8.192 wstart.dll 04.04.2006 11:57 8.192 tcpservice2.exe 04.04.2006 11:33 33.284 shell386.exe 04.04.2006 11:32 0 wupdmgr.tmp 04.04.2006 11:32 4.132 loader.exe 03.04.2006 11:18 2.206 wpa.dbl 27.03.2006 13:01 305.318 perfh009.dat 27.03.2006 13:01 45.672 perfc007.dat 27.03.2006 13:01 309.810 perfh007.dat 27.03.2006 13:01 37.760 perfc009.dat 27.03.2006 13:01 705.468 PerfStringBackup.INI 17.06.2005 13:28 12.942 ModemLog_AVM ISDN RAS (PPP over ISDN).txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\WINDOWS 05.04.2006 12:22 0 0.log 05.04.2006 12:22 50 wiaservc.log 05.04.2006 12:22 159 wiadebug.log 05.04.2006 12:22 2.048 bootstat.dat 04.04.2006 13:15 4.528 security.html 04.04.2006 11:57 8.192 dlmax.dll 04.04.2006 11:57 8.192 Pynix.dll 04.04.2006 11:57 8.192 BTGrab.dll 04.04.2006 11:57 8.192 susp.exe 04.04.2006 11:57 8.192 alxtb1.dll 04.04.2006 11:57 8.192 alxie328.dll 04.04.2006 11:57 8.192 alexaie.dll 03.04.2006 11:20 4.632 Windows Update.log 03.04.2006 11:20 385.379 setupapi.log 29.11.2005 20:32 7.017 SERVICES.EXE 22.11.2005 13:04 2.024 InstWS60.txt 22.11.2005 13:01 46.152 MDACSET.log 22.11.2005 13:00 59 WSI60Upg.txt 22.11.2005 12:57 524 UninstWS.log 05.11.2005 10:35 165 GENOLITE.INI 06.09.2005 20:34 15.356 Administrator.acl 17.03.2005 19:28 464 win.ini 17.03.2005 19:28 11 exchng.ini 17.03.2005 19:27 641 ODBC.INI 17.03.2005 18:28 4.335 ODBCINST.INI 17.03.2005 14:42 36.864 offitems.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\ 05.04.2006 12:32 0 sys.txt 05.04.2006 12:32 6.464 system.txt 05.04.2006 12:31 136 systemtemp.txt 05.04.2006 12:30 99.390 system32.txt 05.04.2006 12:22 805.306.368 pagefile.sys 05.04.2006 12:20 0 33.tmp 04.04.2006 13:44 0 30.tmp 04.04.2006 11:33 2 ok.tmp 03.04.2006 14:07 0 2E.tmp 03.04.2006 11:32 0 7C.tmp 03.04.2006 11:29 0 6C.tmp 03.04.2006 11:27 0 5D.tmp 03.04.2006 11:26 0 4D.tmp 03.04.2006 11:26 0 32.tmp 03.04.2006 11:26 0 2D.tmp 31.03.2006 14:05 0 2C.tmp 30.03.2006 13:20 0 2B.tmp 29.03.2006 13:41 0 2A.tmp 28.03.2006 13:19 0 29.tmp 27.03.2006 14:18 0 28.tmp 24.03.2006 14:17 0 27.tmp 23.03.2006 14:45 0 25.tmp 22.03.2006 13:53 0 24.tmp 21.03.2006 14:20 0 21.tmp 20.03.2006 14:58 0 20.tmp 17.03.2006 12:06 0 1F.tmp 16.03.2006 12:44 0 1E.tmp 15.03.2006 14:20 0 1D.tmp 14.03.2006 14:40 0 31.tmp 13.03.2006 14:46 0 1C.tmp 10.03.2006 13:11 0 1B.tmp 09.03.2006 14:18 0 19.tmp 08.03.2006 15:05 0 17.tmp 07.03.2006 14:05 0 16.tmp 06.03.2006 14:39 0 15.tmp 01.03.2006 13:32 0 26.tmp 01.03.2006 13:31 0 22.tmp 01.03.2006 13:31 0 14.tmp 28.02.2006 13:44 0 13.tmp 27.02.2006 15:14 0 12.tmp 24.02.2006 14:40 0 11.tmp 23.02.2006 14:27 0 10.tmp 22.02.2006 14:13 0 1A.tmp 21.02.2006 14:52 0 F.tmp 20.02.2006 15:26 0 E.tmp 17.02.2006 13:45 0 D.tmp 16.02.2006 15:13 0 C.tmp 15.02.2006 14:07 0 B.tmp 14.02.2006 14:34 0 9.tmp 13.02.2006 14:37 0 8.tmp 10.02.2006 13:36 0 7.tmp 09.02.2006 14:15 0 6.tmp 08.02.2006 13:51 0 48.tmp 08.02.2006 13:51 0 3D.tmp 08.02.2006 13:47 0 2F.tmp 08.02.2006 13:46 0 23.tmp 08.02.2006 13:46 0 18.tmp 08.02.2006 13:46 0 A.tmp 08.02.2006 13:43 0 5.tmp 07.02.2006 13:21 0 4.tmp 06.02.2006 17:08 0 3.tmp temp wahrscheinlich wegen cleanup leer.hoffe es war kein fehler es laufen zu lassen vorher. vielen dank |
|
|
|
|
|
|
05.04.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#4
hardyhell
0. was ist das fuer ein Dienst ??? Weisst du es ??? C:\UPS\WorldShip\Wshipservicecom.exe 1. Die Verseuchung reiht sich wahrscheinlich hier ein: http://virus-protect.org/artikel/spyware/renos.html Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) AdwareSheriff in edit und klicke "Ok". Notepad wird sich oeffnen -------------------------------------------------------------------------- 2. Gehe in die Registry Start -Ausfuehren - regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\security.html" <--loeschen ------------------------------------------------------------------------- 3. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ... C:\WINDOWS\system32\mswinf32.exe C:\WINDOWS\system32\mswinf32.dll C:\WINDOWS\system32\udpmod.dll C:\WINDOWS\system32\questmod.dll C:\WINDOWS\system32\jao.dll C:\WINDOWS\system32\bridge.dll C:\WINDOWS\system32\a.exe C:\WINDOWS\system32\runsrv32.exe C:\WINDOWS\system32\txfdb32.dll C:\WINDOWS\system32\runsrv32.dll C:\WINDOWS\system32\wstart.dll C:\WINDOWS\system32\tcpservice2.exe C:\WINDOWS\system32\shell386.exe C:\WINDOWS\system32\wupdmgr.tmp C:\WINDOWS\system32\loader.exe C:\WINDOWS\security.html C:\WINDOWS\dlmax.dll C:\WINDOWS\Pynix.dll C:\WINDOWS\BTGrab.dll C:\WINDOWS\susp.exe C:\WINDOWS\alxtb1.dll C:\WINDOWS\alxie328.dll C:\WINDOWS\alexaie.dll C:\33.tmp C:\30.tmp C:\ok.tmp C:\2E.tmp C:\7C.tmp C:\6C.tmp C:\5D.tmp C:\4D.tmp C:\32.tmp C:\2D.tmp C:\2C.tmp C:\2B.tmp C:\2A.tmp C:\29.tmp C:\28.tmp C:\27.tmp C:\25.tmp C:\24.tmp C:\21.tmp C:\20.tmp C:\1F.tmp C:\1E.tmp C:\1D.tmp C:\31.tmp C:\1C.tmp C:\1B.tmp C:\19.tmp C:\17.tmp C:\16.tmp C:\15.tmp C:\26.tmp C:\22.tmp C:\14.tmp C:\13.tmp C:\12.tmp C:\11.tmp C:\10.tmp C:\1A.tmp C:\F.tmp C:\E.tmp C:\D.tmp C:\C.tmp C:\B.tmp C:\9.tmp C:\8.tmp C:\7.tmp C:\6.tmp C:\48.tmp C:\3D.tmp C:\2F.tmp C:\23.tmp C:\18.tmp C:\A.tmp C:\5.tmp C:\4.tmp C:\3.tmp C:\WINDOWS\SERVICES.EXE C:\WINDOWS\System32\susp.exe C:\WINDOWS\wupdmgr.exe C:\WINDOWS\osaupd.exe PC neustarten 4. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magic-search.info F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file) O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe PC neustarten 5. nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell 6. dann poste noch mal die 4 Logs von datfindbat (von c:\ bitte alles) dann erst beginnen die Virenscanner, denn die Reinigung ist noch nicht fertig __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.04.2006, 12:48
Member
Themenstarter Beiträge: 18 |
#5
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D058-A7CB Verzeichnis von C:\WINDOWS\system32 06.04.2006 12:46 8.070 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 04.04.2006 11:57 8.192 runsrv32.dll 03.04.2006 11:18 2.206 wpa.dbl 27.03.2006 13:01 45.672 perfc007.dat 27.03.2006 13:01 309.810 perfh007.dat 27.03.2006 13:01 37.760 perfc009.dat 27.03.2006 13:01 305.318 perfh009.dat 27.03.2006 13:01 705.468 PerfStringBackup.INI 17.06.2005 13:28 12.942 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 07.05.2005 07:00 8.704 CNMVS79.DLL 07.05.2005 07:00 140.288 CNMLM79.DLL 08.04.2005 04:29 20.622 SUGS1LMK.DLL 21.03.2005 16:47 121.336 FNTCACHE.DAT 17.03.2005 19:46 69.632 system.mdw 17.03.2005 19:31 69.632 SYSTEM1X.MDW 17.03.2005 18:28 6.321 mapisvc.inf 08.03.2005 20:17 90.112 CNMCP79.exe 03.03.2005 06:32 151.552 SSCoInst.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 06.04.2006 12:17 16.384 ~DFDE9E.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 14.902.743.040 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\WINDOWS 06.04.2006 12:44 0 0.log 06.04.2006 12:44 50 wiaservc.log 06.04.2006 12:44 159 wiadebug.log 06.04.2006 12:44 2.048 bootstat.dat 03.04.2006 11:20 4.632 Windows Update.log 03.04.2006 11:20 385.379 setupapi.log 22.11.2005 13:04 2.024 InstWS60.txt 22.11.2005 13:01 46.152 MDACSET.log 22.11.2005 13:00 59 WSI60Upg.txt 22.11.2005 12:57 524 UninstWS.log 05.11.2005 10:35 165 GENOLITE.INI 06.09.2005 20:34 15.356 Administrator.acl 17.03.2005 19:28 464 win.ini 17.03.2005 19:28 11 exchng.ini 17.03.2005 19:27 641 ODBC.INI 17.03.2005 18:28 4.335 ODBCINST.INI 17.03.2005 14:42 36.864 offitems.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D058-A7CB Verzeichnis von C:\ 06.04.2006 12:48 0 sys.txt 06.04.2006 12:48 6.028 system.txt 06.04.2006 12:48 295 systemtemp.txt 06.04.2006 12:46 98.709 system32.txt 06.04.2006 12:44 805.306.368 pagefile.sys 05.04.2006 13:29 0 34.tmp 11.07.2003 15:17 0 IO.SYS 11.07.2003 15:17 0 CONFIG.SYS 11.07.2003 15:17 0 AUTOEXEC.BAT 11.07.2003 15:17 0 MSDOS.SYS 11.07.2003 15:10 194 boot.ini 29.08.2002 01:05 235.296 ntldr 28.08.2002 21:08 47.580 NTDETECT.COM 23.08.2001 14:00 4.952 bootfont.bin 10.08.1998 15:52 17.408 AcLicens.exe 15 Datei(en) 805.716.830 Bytes 0 Verzeichnis(se), 14.902.743.040 Bytes frei so ich hoffe habe alles richtig gemacht. vielen dank schonmal ps:0. was ist das fuer ein Dienst ??? Weisst du es ??? C:\UPS\WorldShip\Wshipservicecom.exe das ist ein ups versandprogramm also in ordnung |
|
|
|
|
|
|
06.04.2006, 13:14
Ehrenmitglied
Beiträge: 29434 |
#6
0.
Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) AdwareSheriff in edit und klicke "Ok". Notepad wird sich oeffnen 1. loesche: C:\WINDOWS\system32\runsrv32.dll C:\34.tmp 2. RootkitRevealer (poste den scanreport) http://www.sysinternals.com/Utilities/RootkitRevealer.html 3. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 4. scanne mit Kaspersky und panda und poste die sanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.04.2006, 00:08
Member
Themenstarter Beiträge: 18 |
#7
das reg search gab hete nur nen ganz kurzen log und hat meiner meinug nach nix von adwaresherif gefunden.is das normal?
|
|
|
|
|
|
|
07.04.2006, 00:38
Ehrenmitglied
Beiträge: 29434 |
#8
das kann sein ...vielleicht ist was anderes vorhanden, als ich annehme
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.04.2006, 16:54
Member
Themenstarter Beiträge: 18 |
#9
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.0.1 ; Results at 07.04.2006 16:55:26 for strings: ; '<a href='http://www.topadwarereviews.com/?adv=206&ads=i'>adware</a>sheriff' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... also das kommt bei regsearch raud wenn ich nach <a href='http://www.topadwarereviews.com/?adv=206&ads=i'>adware</a>Sheriff suche da ich hier nicht antworten kann komischer weise. also als ich die vieren scans hab laufen lassen kam immer die malware und hat es unterbrochen und nen virus fund angezeigt. unten bei dem fenster stand winfavourites. und er hatt dann alle browswer geschlossen und wollte mich auf die website topwarereviews schicken Dieser Beitrag wurde am 07.04.2006 um 19:56 Uhr von hardyhell editiert.
|
|
|
|
|
|
|
07.04.2006, 23:37
Ehrenmitglied
Beiträge: 29434 |
#10
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magic-search.info PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 2. RootkitRevealer (poste den scanreport) http://www.sysinternals.com/Utilities/RootkitRevealer.html 3. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 4. Spysweeper - lade das Trial-Tool, scanne und poste den scanbericht http://virus-protect.org/spysweeper.html __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.04.2006, 16:54
Member
Themenstarter Beiträge: 18 |
#11
die einträge gibt es bei hijack nicht.
startseite hab ich geändert bzw webeinstellungen. rootkit findet immer noch nix systemwiederherstellung is immer noch deaktiviert spysweeper lade ich gerade runter meine antworten werden nie gepostet.son mist also hier der log von spy sweeper. die eintrage waren mit hijack nicht zu finden. rootkit fand nix und die anderen beiden einstellungen habe ich gemacht bzw waren nicht verändert ******** 17:24: | Start of Session, Samstag, 8. April 2006 | 17:24: Spy Sweeper started 17:24: Sweep initiated using definitions version 652 17:24: Starting Memory Sweep 17:26: Memory Sweep Complete, Elapsed Time: 00:01:35 17:26: Starting Registry Sweep 17:26: Found Adware: blazefind 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{9c691a33-7dda-4c2f-be4c-c176083f35cf}\ (ID = 104519) 17:26: Found Adware: daily toolbar 17:26: HKCR\appid\dailytoolbar.dll\ (1 subtraces) (ID = 124556) 17:26: HKCR\appid\{951b3138-ae8e-4676-a05a-250a5f111631}\ (1 subtraces) (ID = 124557) 17:26: HKCR\interface\{10195311-e434-47a9-adba-48839e3f7e4e}\ (1 subtraces) (ID = 124566) 17:26: HKCR\interface\{abafa0b4-f78d-42e5-8c31-1a441d01c1df}\ (1 subtraces) (ID = 124567) 17:26: HKLM\software\classes\appid\dailytoolbar.dll\ (1 subtraces) (ID = 124576) 17:26: HKLM\software\classes\appid\{951b3138-ae8e-4676-a05a-250a5f111631}\ (1 subtraces) (ID = 124577) 17:26: HKLM\software\classes\interface\{10195311-e434-47a9-adba-48839e3f7e4e}\ (1 subtraces) (ID = 124594) 17:26: HKLM\software\classes\interface\{abafa0b4-f78d-42e5-8c31-1a441d01c1df}\ (1 subtraces) (ID = 124595) 17:26: HKLM\software\dailytoolbar\ (1 subtraces) (ID = 124601) 17:26: Found Adware: purityscan 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{7b55bb05-0b4d-44fd-81a6-b136188f5deb}\ (1 subtraces) (ID = 137799) 17:26: Found Adware: tubby toolbar 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{7b55bb05-0b4d-44fd-81a6-b136188f5deb}\ (1 subtraces) (ID = 137799) 17:26: Found Adware: elitemediagroup-mediamotor 17:26: HKLM\software\ssprint\ (3 subtraces) (ID = 140214) 17:26: Found Trojan Horse: trojan-downloader-wstart 17:26: HKCR\appid\wstart.dll\ (1 subtraces) (ID = 144900) 17:26: HKCR\appid\{f6bdb4e5-d6aa-4d1f-8b67-bcb0f2246e21}\ (1 subtraces) (ID = 144901) 17:26: HKCR\clsid\{9896231a-c487-43a5-8369-6ec9b0a96cc0}\ (1 subtraces) (ID = 144902) 17:26: HKLM\software\classes\appid\wstart.dll\ (1 subtraces) (ID = 144903) 17:26: HKLM\software\classes\appid\{f6bdb4e5-d6aa-4d1f-8b67-bcb0f2246e21}\ (1 subtraces) (ID = 144904) 17:26: HKLM\software\classes\clsid\{9896231a-c487-43a5-8369-6ec9b0a96cc0}\ (1 subtraces) (ID = 144905) 17:26: HKLM\software\wsoft\ (1 subtraces) (ID = 144909) 17:26: Found Adware: directrevenue-abetterinternet 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000000-59d4-4008-9058-080011001200}\ (1 subtraces) (ID = 145924) 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000000-c1ec-0345-6ec2-4d0300000000}\ (ID = 145925) 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{00000000-f09c-02b4-6ec2-ad0300000000}\ (1 subtraces) (ID = 145927) 17:26: HKLM\software\microsoft\windows\currentversion\explorer\browser helper objects\{ffd2825e-0785-40c5-9a41-518f53a8261f}\ (ID = 145940) 17:26: Found Adware: win favorites 17:26: HKLM\software\microsoft\windows\currentversion\run\ || winfavorites (ID = 146980) 17:26: Found Trojan Horse: trojan-downloader-balloon 17:26: HKCR\balloon.application\ (3 subtraces) (ID = 1177065) 17:26: HKCR\clsid\{1ca7dbaf-b066-4554-977e-5cebb7fa59c8}\ (7 subtraces) (ID = 1177075) 17:26: Found Trojan Horse: trojan-downloader-ifemdom 17:26: HKCR\typelib\{4d0b62d8-262c-4fd3-adbf-4722a6f2862e}\ (9 subtraces) (ID = 1177117) 17:26: HKLM\software\classes\balloon.application\ (3 subtraces) (ID = 1177159) 17:26: HKLM\software\classes\clsid\{1ca7dbaf-b066-4554-977e-5cebb7fa59c8}\ (7 subtraces) (ID = 1177169) 17:26: HKLM\software\classes\clsid\{1ca7dbaf-b066-4554-977e-5cebb7fa59c8}\progid\ (1 subtraces) (ID = 1177175) 17:26: HKLM\software\classes\typelib\{4d0b62d8-262c-4fd3-adbf-4722a6f2862e}\ (9 subtraces) (ID = 1177211) 17:26: Found Adware: adwaresheriff fakealert 17:26: HKCR\interface\{1461b27b-6ce6-429d-9a03-470d1c9b676f}\ (8 subtraces) (ID = 1219325) 17:26: HKCR\interface\{32bd3445-b2fe-4df9-9cbc-55e774b5b245}\ (8 subtraces) (ID = 1219334) 17:26: HKLM\software\classes\interface\{1461b27b-6ce6-429d-9a03-470d1c9b676f}\ (8 subtraces) (ID = 1219343) 17:26: HKLM\software\classes\interface\{32bd3445-b2fe-4df9-9cbc-55e774b5b245}\ (8 subtraces) (ID = 1219352) 17:26: Registry Sweep Complete, Elapsed Time:00:00:07 17:26: Starting Cookie Sweep 17:26: Cookie Sweep Complete, Elapsed Time: 00:00:00 17:26: Starting File Sweep 17:26: intxt.exe (ID = 250764) 17:26: winapi32.dll (ID = 250781) 17:26: Found Adware: cashdeluxe fake alert 17:26: mswinf32.exe (ID = 253029) 17:28: mswinf32.dll (ID = 253029) 17:31: File Sweep Complete, Elapsed Time: 00:04:26 17:31: Full Sweep has completed. Elapsed time 00:06:11 17:31: Traces Found: 134 ******** 17:19: | Start of Session, Samstag, 8. April 2006 | 17:19: Spy Sweeper started 17:24: Your spyware definitions have been updated. 17:24: | End of Session, Samstag, 8. April 2006 | habe jetzt nochmal alles von weiter oben wiederholt. bekomme jetzt wenn windows hochfährt im moment nur noch die meldung das CNFNOT32.exe nicht gestartet werden kann da MAPI31.dll fehlt. ansonten is die malware nicht mehr zu sehen im moment.osaupd.exe is aber noch aktiv wenn ich taskmanager schaue.die exe lässt sich leider auch nicht löschen Dieser Beitrag wurde am 08.04.2006 um 18:18 Uhr von hardyhell editiert.
|
|
|
|
|
|
|
08.04.2006, 21:01
Ehrenmitglied
Beiträge: 29434 |
#12
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe -> im abgesicherten Modus loeschen (dort muesste es gehen) scanne noch mal mit spysweeper , bis alles sauber bleibt (auch im abgesicherten modus) scanne mit bitdefender ScanOnline neu und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.04.2006, 21:21
Member
Themenstarter Beiträge: 18 |
#13
weist du was es mitd er cnfnot32.exe fehlermeldung auf sich hat.die bekomme ich jetzt immer beim startup.komponente nicht géfunden mapi32.dll
die exe finde ich wennich suche aber ich eis nicht ob ich die löschen darf |
|
|
|
|
|
|
08.04.2006, 21:29
Ehrenmitglied
Beiträge: 29434 |
#14
ich habe schon gegoogelt, aber lass diese fehlermeldung erst mal, zuerst muessen die viren runter
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.04.2006, 23:12
Member
Themenstarter Beiträge: 18 |
#15
ja bei google hab ich nicht wirklich was nützlicher gefunden über den einen fehler.angeblich wwas mit outlook zu tun.
bitdefender scan ging nicht.gab immer fehler mit verbindung oder so. panda ging jetzt endlich hier der report Incident Status Location Adware:adware/alexa-toolbar Not disinfected C:\WINDOWS\SYSTEM32\alxres.dll Adware:adware/dailytoolbar Not disinfected C:\WINDOWS\SYSTEM32\dailytoolbar.dll Adware:adware/cashdeluxe Not disinfected C:\WINDOWS\SYSTEM32\mswinup32.dll Adware:adware/admess Not disinfected C:\WINDOWS\SYSTEM32\wstart.dll Potentially unwanted tool:application/adwaresheriff Not disinfected C:\Dokumente und Einstellungen\Administrator\Desktop\Adware Reviews.url Adware:adware/transponder Not disinfected C:\WINDOWS\ZServ.dll Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@as1.falkag[1].txt |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
danke
Logfile of HijackThis v1.99.1
Scan saved at 13:34:22, on 04.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\UPS\WorldShip\Wshipservicecom.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\avmapdsl\panapp.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\wupdmgr.exe
C:\WINDOWS\osaupd.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magic-search.info/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magic-search.info
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMBLUEPAN] C:\Programme\avmapdsl\panapp.exe -debug
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{15372D37-8074-4A2D-BD7F-1F9A57184530}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{1804A285-10E1-4EB0-84E7-971EF28AEF66}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9ABA953A-9257-4955-972E-055835BE6189}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WShipServiceCom - Unknown owner - C:\UPS\WorldShip\Wshipservicecom.exe