Pop Up Fenster haben die Gewalt über mein Rechner |
||
---|---|---|
#0
| ||
05.04.2006, 08:59
...neu hier
Beiträge: 6 |
||
|
||
05.04.2006, 11:20
Ehrenmitglied
Beiträge: 29434 |
#2
nicihh79
1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. und bitte ein aktuelles HijackThis: (deine Version ist veraltet) Hijackthis - http://computercops.biz/zx/Merijn/hijackthis.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2006, 12:31
...neu hier
Themenstarter Beiträge: 6 |
#3
Danke für Deine Antwort, nur leider habe ich jetzt folgendes Problem (das andere ist auch noch da :-) )
Bei datFind öffnet sich nur der Editor für das erste Log. Die Daten sind wie folgt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78EF-3F59 Verzeichnis von C:\WINDOWS\system32 05.04.2006 12:07 234.914 guard.tmp 05.04.2006 12:06 234.914 umrvpa.dll 05.04.2006 09:27 236.275 irjql5151.dll 04.04.2006 21:37 234.914 o684lglq16qe.dll 04.04.2006 15:33 2.206 wpa.dbl 01.04.2006 21:56 607.411 kspydoc.log 01.04.2006 11:15 233.459 mqrdim.dll 01.04.2006 11:14 0 Sweeper.cfg 28.03.2006 16:14 39.992 perfc009.dat 28.03.2006 16:14 316.594 perfh007.dat 28.03.2006 16:14 311.604 perfh009.dat 28.03.2006 16:14 48.156 perfc007.dat 28.03.2006 16:14 723.744 PerfStringBackup.INI 07.03.2006 15:16 234.397 jt2o07f3e.dll 27.02.2006 16:26 234.397 ddskperf.dll 25.02.2006 11:39 33.540 CoreFLACDecoder-uninstall.exe 03.02.2006 21:59 1.060.616 FNTCACHE.DAT 03.01.2006 11:17 7.006 jupdate-1.5.0_06-b05.log Der Editor für: 2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp 3.Log Verzeichnis von C:\WINDOWS 4.Log Verzeichnis von C:\ öffnet sich nicht, kann da also keine Daten liefern. Die neuen Daten von Hijack sind: Logfile of HijackThis v1.99.1 Scan saved at 12:30:12, on 05.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Bunny\Desktop\Inst\Installer (NEW)\Anti Virus\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: eZshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing) O9 - Extra 'Tools' menuitem: e-zshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{770B82DE-4D51-4065-9561-25B73B4451AB}: NameServer = 192.168.1.1 O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\o684lglq16qe.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Antivir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir\AVWUPSRV.EXE O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - (no file) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Schnief, bin echt am Verzweifeln. Gruß Nici |
|
|
||
05.04.2006, 14:02
Ehrenmitglied
Beiträge: 29434 |
#4
nicihh79
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .......... C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\umrvpa.dll C:\WINDOWS\system32\irjql5151.dll C:\WINDOWS\system32\o684lglq16qe.dll C:\WINDOWS\system32\kspydoc.log C:\WINDOWS\system32\mqrdim.dll C:\WINDOWS\system32\Sweeper.cfg C:\WINDOWS\system32\jt2o07f3e.dll C:\WINDOWS\system32\ddskperf.dll pc neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell l2mfix - Option 2 - PC neustarten - scan abwarten http://virus-protect.org/l2mfix.html öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm R3 - Default URLSearchHook is missing O9 - Extra button: eZshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing) O9 - Extra 'Tools' menuitem: e-zshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing) O20 - Winlogon Notify: RunOnceEx - C:\WINDOWS\system32\o684lglq16qe.dll O23 - Service: StyleXPService - Unknown owner - (no file) PC neustarten Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html + versuche noch einmal die restlichen drei Logs von datfindbat zu posten, denn unter c:\windows und c:\ gibt es noch viren, die ich dir nicht zum loeschen geben konnte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.04.2006, 16:03
...neu hier
Themenstarter Beiträge: 6 |
#5
Jetzt kommt der Report des Jahunderts (ich glaube so ne lange Liste hat noch niemand hier geposted).
Da ich mit meinem Rechner jetzt nicht mehr ins Internet komme, schreibe ich Dir vom Rechner meines Mannes. --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 15:54:07, 05.04.2006 + Report-Checksumme: B6586363 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{1ADBCCE8-CF84-441E-9B38-AFC7A19C06A4} -> Adware.ActivShopper : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{3D782BB3-F2A5-11D3-BF4C-000000000000} -> Adware.ActivShopper : Gesäubert mit Backup HKU\S-1-5-21-515967899-1844237615-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{944864A5-3916-46E2-96A9-A2E84F3F1208} -> Adware.Accoona : Gesäubert mit Backup C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Stauri FAQtaur 2.0\run.exe -> Downloader.Adload.j : Gesäubert mit Backup :mozilla.26:C:\Dokumente und Einstellungen\Bunny\Anwendungsdaten\Mozilla\Firefox\Profiles\mjwqbgab.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup :mozilla.27:C:\Dokumente und :mozilla.974:C:\Dokumente und Einstellungen\Bunny\Anwendungsdaten\Mozilla\Firefox\Profiles\mjwqbgab.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\cphv1mww.exe/run.exe -> Downloader.Harnig.bb : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\f4tm12gd.exe/run.exe -> Downloader.Small.ckj : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\nlrspd32.exe/run.exe -> Downloader.Harnig.bb : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\run.exe -> Downloader.Small.ckj : Gesäubert mit Backup C:\Dokumente und Einstellungen\Bunny\order_sXiO.exe -> Logger.Banker.asv : Gesäubert mit Backup C:\drsmartload1.exe -> Downloader.Adload.j : Gesäubert mit Backup C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.dll -> Logger.Small.eu : Gesäubert mit Backup C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00004.dll -> Logger.Small.eu : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc3.dll -> Adware.Look2Me : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc4.dll -> Adware.Look2Me : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc5.dll -> Adware.Look2Me : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-515967899-1844237615-839522115-1003\Dc6.tmp -> Adware.Look2Me : Gesäubert mit Backup C:\WINDOWS\myupdates.exe -> Downloader.Adload.l : Gesäubert mit Backup C:\WINDOWS\system32\hlwin.dll -> Adware.Suggestor : Gesäubert mit Backup C:\WINDOWS\winsysban5.exe -> Hijacker.VB.kc : Gesäubert mit Backup C:\WINDOWS\winsysupd3.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup C:\WINDOWS\winsysupd5.exe -> Hijacker.StartPage.ahg : Gesäubert mit Backup C:\winsysban5.exe -> Hijacker.VB.kc : Gesäubert mit Backup ::Report Ende 2. LOG: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78EF-3F59 Verzeichnis von C:\DOKUME~1\Bunny\LOKALE~1\Temp 05.04.2006 15:09 16.384 ~DF10C4.tmp 05.04.2006 14:49 16.384 ~DF626.tmp 05.04.2006 14:07 21.656 AAX1E.tmp 05.04.2006 12:32 588.288 kennedy.pps 4 Datei(en) 642.712 Bytes 0 Verzeichnis(se), 19.948.212.224 Bytes frei 3. LOG: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78EF-3F59 Verzeichnis von C:\WINDOWS 05.04.2006 15:17 27 BRPP2KA.INI 05.04.2006 15:17 425 BRWMARK.INI 05.04.2006 15:13 0 0.log 05.04.2006 15:12 1.907.215 WindowsUpdate.log 05.04.2006 15:12 2.048 bootstat.dat 05.04.2006 15:11 18.752 SchedLgU.Txt 04.04.2006 18:43 673.153 setupapi.log 04.04.2006 15:35 54.156 QTFont.qfn 24.03.2006 15:52 306 gttb64.ini 13.03.2006 17:22 88.986 wmsetup.log 11.03.2006 15:50 749 win.ini 08.03.2006 18:37 96.070 3D.jpg 08.03.2006 18:31 192.193 Def Jam.jpg 28.02.2006 17:39 10.752 Thumbs.db 27.02.2006 16:24 0 hosts 27.02.2006 16:24 0 tool5.exe 27.02.2006 16:24 0 tool4.exe 27.02.2006 16:24 0 tool3.exe 27.02.2006 16:23 0 tool1.exe 27.02.2006 16:23 0 secure32.html 27.02.2006 16:23 0 country.exe 27.02.2006 16:23 0 tool2.exe 24.02.2006 22:03 159 wiadebug.log 24.02.2006 22:03 50 wiaservc.log 07.02.2006 20:04 0 winsysupd51.dat 04.02.2006 17:48 99.970 UninstallFirefox.exe 04.02.2006 17:48 4.527 mozver.dat 03.02.2006 22:03 0 winsysupd31.dat 03.02.2006 22:03 38 myupdates.dat 03.02.2006 22:02 0 gimmygames1.dat 02.02.2006 19:47 0 uniq 27.01.2006 19:00 0 myupdates1.dat 27.01.2006 18:59 43 drsmartload2.dat 13.01.2006 18:56 101 CMMIXER.INI 27.12.2005 22:09 75.030 DirectX.log 27.11.2005 01:08 1.409 QTFont.for 26.11.2005 11:16 39.322 xmas16.jpg 25.11.2005 21:35 720.896 iun6002.exe 05.11.2005 16:15 107.901 upstreet.jpg 05.11.2005 16:09 77.376 palmrow.jpg 04.11.2005 17:08 36.864 uinst001.exe 01.11.2005 16:51 98.917 places1.jpg 01.11.2005 16:50 107.174 xmas2.jpg 01.11.2005 16:48 106.401 beach 4.jpg 01.11.2005 16:48 49.772 beach 2.jpg 01.11.2005 16:39 89.490 diamond.jpg 25.10.2005 23:19 11.718 ModemLog_Motorola USB Modem.txt 20.10.2005 11:32 376 ODBC.INI 19.10.2005 07:11 259 rlw32.ini 13.10.2005 17:17 27.455 azureus.jpg 09.10.2005 02:58 5.186 KB899587.log 4. LOG: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78EF-3F59 Verzeichnis von C:\ 05.04.2006 15:57 0 sys.txt 05.04.2006 15:56 8.865 system.txt 05.04.2006 15:56 436 systemtemp.txt 05.04.2006 15:56 96.952 system32.txt 05.04.2006 15:12 536.399.872 hiberfil.sys 05.04.2006 15:11 402.653.184 pagefile.sys 05.04.2006 15:07 53 direct.txt 24.03.2006 15:52 13.030 PDOXUSRS.NET 28.02.2006 17:37 45 TEST.XML 26.11.2005 18:32 0 BHO.log 25.10.2005 23:09 0 DBS.TXT 14.07.2005 16:29 16.245 ResponseText.log 14.07.2005 16:29 17.001 ResponseXML.log 14.07.2005 16:29 1.281 Request.log 05.07.2005 18:49 0 CONFIG.SYS 05.07.2005 18:49 0 MSDOS.SYS 05.07.2005 18:49 0 IO.SYS 05.07.2005 18:49 0 AUTOEXEC.BAT 05.07.2005 18:41 194 BOOT.BKK 05.07.2005 18:41 194 boot.ini 12.04.2004 17:17 77.824 NetAgent.dll 29.08.2002 01:05 235.296 ntldr 28.08.2002 21:08 47.580 NTDETECT.COM 18.08.2001 21:00 4.952 bootfont.bin 24 Datei(en) 939.573.004 Bytes 0 Verzeichnis(se), 19.948.208.128 Bytes frei Ich hoffe das wird keine Jahresaufgabe für Dich. Vielen Dank nochmal. Da ich nicht mehr ins Internet komme, nerve mich mich Pop Ups auch nicht mehr, grins. Gruß Nici |
|
|
||
05.04.2006, 22:27
Ehrenmitglied
Beiträge: 29434 |
#6
loesche mit der Killbox:
C:\WINDOWS\hosts C:\WINDOWS\tool5.exe C:\WINDOWS\tool4.exe C:\WINDOWS\tool3.exe C:\WINDOWS\tool1.exe C:\WINDOWS\secure32.html C:\WINDOWS\country.exe C:\WINDOWS\tool2.exe C:\WINDOWS\winsysupd51.dat C:\DOKUME~1\Bunny\LOKALE~1\Temp\kennedy.pps C:\WINDOWS\winsysupd31.dat C:\WINDOWS\myupdates.dat C:\WINDOWS\gimmygames1.dat C:\WINDOWS\uniq C:\WINDOWS\myupdates1.dat C:\WINDOWS\drsmartload2.dat C:\WINDOWS\gttb64.ini bringe smitfraud.fix auf deinen Rechner und wende es an http://virus-protect.org/artikel/tools/smitfrautfix.html dann brauche ich das log vom silentrunner ! http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2006, 18:26
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo Sabina
Ich habe die Programme angewendet. Das Log von silentrunner ist: "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "STYLEXP" = "C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide" [empty string] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 DragDrop Shell Extension" -> {HKLM...CLSID} = "WinAceDrag-Drop Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] "{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.5 Property Sheet Shell Extension" -> {HKLM...CLSID} = "WinAceProperty Sheet Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKCU...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "YMailShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "C:\Programme\winace\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Bunny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\ {4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Messenger" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {3EA5C408-2437-4C40-ADAC-DFDA9AEEEA96}\(Default) = (no title provided) -> {HKLM...CLSID} = "e-zshopper SideBar" \InProcServer32\(Default) = "SHDOCVW.DLL" [MS] {4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided) -> {HKLM...CLSID} = "&Yahoo! Messenger" \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Update, AVWUpSrv, ""C:\Programme\Antivir\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] WinFast(R) Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 299 seconds, including 9 seconds for message boxes) Ich komme aber nicht mehr ins Internet seit ich die Sachen über meinen Rechner laufen hatte. Woran kann das jetzt liegen? Gruß Nici |
|
|
||
07.04.2006, 00:02
Ehrenmitglied
Beiträge: 29434 |
#8
du kommst nicht mehr ins Net ? Wie postest du all die Logs ???
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2006, 08:29
...neu hier
Themenstarter Beiträge: 6 |
#9
Über den Rechner meines Mannes. Komischerweise komme ich noch ins Netzwerk und so ziehe ich die Sachen auf den Pc meines Mannes und schaufel die Programme dann auf meinen Rechner. Die Logs kopiere ich
dann und sende sie zurück an den Rechner meines Mannes um sie dann hier ins Forum zu stellen. Ist wahnsinnig kompliziert, geht aber relativ gut. Wie gesagt, zuerst kam ich ins Netz und konnte euch die Sachen von meinem Rechner aus posten, nur jetzt geht das irgendwie nicht mehr. Wir haben ne Flat und ne Brücke im Netzwerk. Ich kann nur noch auf das Netzwerk zugreifen, Internetseiten werden nicht mehr angezeigt ("Seite konnte nicht gefunden werden"). Gruß Nici |
|
|
||
07.04.2006, 11:24
Ehrenmitglied
Beiträge: 29434 |
#10
Variante 1: formatieren
Variante 2: eine Systemwiederherstellung machen (so weit wie moeglich im Datum zurueck + HijackThis und die logs von datfind posten und alles noch mal von vorn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 11:00
...neu hier
Themenstarter Beiträge: 6 |
#11
Liebe Sabina,
ich wollte mich für euren super Service bedanken. Mein Rechner läuft wieder einwandfrei, ohne Pop Ups und sogar etwas schneller. Die Sache mit dem Internet war eigentlich simble. Mein Rechner hatte eine falsche IP-Adresse bezogen. Ich hatte das geändert und kann auch wieder surfen. Ihr seit echt spitze. Danke nochmal. Gruß Nici |
|
|
||
Anbei sende ich euch den Report von Hijack
Logfile of HijackThis v1.97.7
Scan saved at 21:39:57, on 04.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\a-squared\a2guard.exe
C:\Dokumente und Einstellungen\Bunny\Desktop\Verknüpfungen\emule.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Bunny\Desktop\Downloads\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.yahoo.com/search/preferences?vl=lang_{SUB_RFC1766}&pref_done=http%3A%2F%2Fsearch.yahoo.com%2Fsearch%2Fpreferences%3Fp%3D
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: eZshopper (HKLM)
O9 - Extra 'Tools' menuitem: e-zshopper (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{770B82DE-4D51-4065-9561-25B73B4451AB}: NameServer = 192.168.1.1
Ich bedanke mich jetzt schon mal für eure Hilfe !!!
Gruß
Nici