Home » Spyware & Browser Hijacker Support Forum » UnSpyPC hat sich auf meinem rechner eingenistet » Themenansicht
UnSpyPC hat sich auf meinem rechner eingenistet |
||
|---|---|---|
| #0
| ||
|
05.04.2006, 22:08
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
06.04.2006, 00:56
Ehrenmitglied
 Beiträge: 29434 |
#2
**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT41. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {3A6688F9-8698-53B9-D2A4-7ECA5CAB29A8} - teqq32.dll (file missing) O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Programme\Secretmaker\secretmakerie.dll O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Programme\Secretmaker\secretmakerie.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [Testimonials] trycrt.exe O4 - HKLM\..\Run: [dePloy] dialer423.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - HKCU\..\Run: [SYSTRAV] ParisM.exe O4 - HKCU\..\Run: [wormexe] StatusCheck.exe O4 - HKCU\..\Run: [sysmon12] scanSYS.exe PC neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. C:\Programme\UnSpyPC --> deinstallieren -------------------------------------------------------------------------- 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.04.2006, 19:35
...neu hier
Themenstarter Beiträge: 7 |
#3
danke erstmal soweit
Datentr„ger in Laufwerk C: ist VOLLHORST Volumeseriennummer: 28DF-6168 Verzeichnis von C:\WINDOWS\system32 06.04.2006 17:03 664 d3d9caps.dat 06.04.2006 17:03 43.573 nvapps.xml 06.04.2006 17:02 1.080 settingsbkup.sfm 06.04.2006 17:02 1.080 settings.sfm 06.04.2006 17:02 11.564 DVCState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx 06.04.2006 17:02 31.056 BMXStateBkp-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx 06.04.2006 17:02 30.528 BMXCtrlState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx 06.04.2006 17:02 30.528 BMXBkpCtrlState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx 06.04.2006 17:02 31.056 BMXState-{00000000-00000000-00000013-00001102-00000004-20021102}.rfx 05.04.2006 16:33 654.111 filesafer23.exe 05.04.2006 16:33 45.568 pppcgm.exe 05.04.2006 16:33 155.648 tuajl.dll 05.04.2006 16:32 51.288 csuyl.exe 04.04.2006 19:07 2.206 wpa.dbl 29.03.2006 20:26 57.344 avsda.dll 27.03.2006 17:41 39.992 perfc009.dat 27.03.2006 17:41 48.156 perfc007.dat 27.03.2006 17:41 316.594 perfh007.dat 27.03.2006 17:41 311.604 perfh009.dat 27.03.2006 17:41 723.744 PerfStringBackup.INI 23.03.2006 00:35 261.432 FNTCACHE.DAT 21.02.2006 18:45 219.648 uxtheme.dll 03.02.2006 09:43 2.332.368 d3dx9_29.dll 03.02.2006 09:42 230.096 xactengine2_0.dll 03.02.2006 09:41 14.032 x3daudio1_0.dll 11.01.2006 00:46 6.948 jupdate-1.5.0_06-b05.log 01.01.2006 18:24 7.680 Thumbs.db 31.12.2005 03:30 23.392 nscompat.tlb 31.12.2005 03:30 16.832 amcompat.tlb 30.12.2005 17:04 184 e000001.dat 30.12.2005 16:47 251 spupdwxp.log 30.12.2005 16:33 25.065 wmpscheme.xml 30.12.2005 16:28 261 $winnt$.inf 30.12.2005 16:25 2.951 CONFIG.NT 30.12.2005 16:24 488 logonui.exe.manifest 30.12.2005 16:24 488 WindowsLogon.manifest 30.12.2005 16:24 749 wuaucpl.cpl.manifest 30.12.2005 16:24 749 cdplayer.exe.manifest 30.12.2005 16:24 749 sapi.cpl.manifest 30.12.2005 16:24 749 nwc.cpl.manifest 30.12.2005 16:24 749 ncpa.cpl.manifest 30.12.2005 16:21 21.740 emptyregdb.dat 30.12.2005 16:08 0 h323log.txt ============================================ Datentr„ger in Laufwerk C: ist VOLLHORST Volumeseriennummer: 28DF-6168 Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp 06.04.2006 17:39 0 fcw6.tmp 06.04.2006 17:13 206 jusched.log 06.04.2006 17:03 134 hpotdd002.log 06.04.2006 17:02 134 hpotdd001.log 06.04.2006 16:59 134 hpotdd000.log 5 Datei(en) 608 Bytes 0 Verzeichnis(se), 8.620.949.504 Bytes frei ============================================ Datentr„ger in Laufwerk C: ist VOLLHORST Volumeseriennummer: 28DF-6168 Verzeichnis von C:\WINDOWS 06.04.2006 19:23 513 DFC.INI 06.04.2006 17:49 49 NeroDigital.ini 06.04.2006 17:03 0 0.log 06.04.2006 17:03 50 wiaservc.log 06.04.2006 17:03 159 wiadebug.log 06.04.2006 17:03 4.958.588 {00000000-00000000-00000013-00001102-00000004-20021102}.CDF 06.04.2006 17:02 2.048 bootstat.dat 06.04.2006 17:02 32.630 SchedLgU.Txt 06.04.2006 17:02 39.212 WindowsUpdate.log 06.04.2006 16:51 318.724 ntbtlog.txt 06.04.2006 16:34 4.456 rdt.ini 06.04.2006 07:36 4.958.588 {00000000-00000000-00000013-00001102-00000004-20021102}.BAK 05.04.2006 16:33 6.400 balloon.wav 25.03.2006 01:03 549.974 setupapi.log 24.03.2006 18:16 50.222 wmsetup.log 23.03.2006 20:26 14.848 Thumbs.db 23.03.2006 20:05 227 system.ini 23.03.2006 20:05 604 win.ini ============================================ Datentr„ger in Laufwerk C: ist VOLLHORST Volumeseriennummer: 28DF-6168 Verzeichnis von C:\ 06.04.2006 19:25 0 sys.txt 06.04.2006 19:23 7.123 system.txt 06.04.2006 19:22 486 systemtemp.txt 06.04.2006 19:21 112.182 system32.txt 06.04.2006 17:02 1.610.612.736 pagefile.sys 01.04.2006 13:30 6.777 hpfr3600.log 23.03.2006 20:05 211 boot.ini 30.12.2005 16:40 47.564 NTDETECT.COM 30.12.2005 16:40 251.184 ntldr 30.12.2005 16:25 0 IO.SYS 30.12.2005 16:25 0 CONFIG.SYS 30.12.2005 16:25 0 AUTOEXEC.BAT 30.12.2005 16:25 0 MSDOS.SYS 23.08.2001 18:00 4.952 bootfont.bin 14 Datei(en) 1.611.043.215 Bytes 0 Verzeichnis(se), 8.620.945.408 Bytes frei ============================================ 04/06/06 19:26:59 [Info]: BlackLight Engine 1.0.35 initialized 04/06/06 19:26:59 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/06/06 19:26:59 [Note]: 7019 4 04/06/06 19:26:59 [Note]: 7005 0 04/06/06 19:27:20 [Note]: 7006 0 04/06/06 19:27:20 [Note]: 7011 836 04/06/06 19:27:20 [Note]: 7026 0 04/06/06 19:27:20 [Note]: 7026 0 04/06/06 19:27:20 [Note]: FSRAW library version 1.7.1015 04/06/06 19:30:08 [Note]: 7007 0 |
|
|
|
|
|
|
07.04.2006, 00:22
Ehrenmitglied
Beiträge: 29434 |
#4
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ....... C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\pppcgm.exe C:\WINDOWS\system32\tuajl.dll Verzeichnis von C:\DOKUME~1\root\LOKALE~1\Temp\fcw6.tmp C:\WINDOWS\system32\csuyl.exe C:\WINDOWS\rdt.ini C:\WINDOWS\balloon.wav PC neustarten damit wird die Internetverbindung geloescht (geht in die Ukraine.....) Du musst nach dem Neustart eine neue erstellen !!! öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{BAA281F5-D71E-4220-8861-37A5628E195C}: NameServer = 85.255.115.26,85.255.112.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{F83A0E85-3ED1-47BD-AF2C-2C10B47B9485}: NameServer = 85.255.115.26,85.255.112.110 O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110 PC neustarten nach dem Neustart suche: C:\!KillBox und loesche alle dort befindlichen Dateien manuell Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -->kopiere die txt-Datei ins Forum scanne mit ewido und poste dens scanreport http://virus-protect.org/ewido.html + das neue Log vom HijackThis --------- Zitat O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.04.2006, 21:19
...neu hier
Themenstarter Beiträge: 7 |
#5
ich hoffe mal, dass ich alles soweit richtig gemacht hab
Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\ytjmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif ... Random Runs removed from HKLM ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool ============================================================ --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 21:01:45, 08.04.2006 + Report-Checksumme: 81C7DE37 + Scanergebnis: [420] VM_02420000 -> Trojan.Pakes : Fehler beim Säubern :mozilla.35:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Findwhat : Gesäubert mit Backup :mozilla.41:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Sextracker : Gesäubert mit Backup :mozilla.42:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt -> TrackingCookie.Sextracker : Gesäubert mit Backup :mozilla.43:C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt - C:\Dokumente und Einstellungen\root\Cookies\root@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc3.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc6.exe -> Adware.Msnagent : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-220523388-1303643608-839522115-1003\Dc7.exe -> Hijacker.Small : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP123\A0030405.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP124\A0030689.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP124\A0031689.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031821.exe -> Adware.Msnagent : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031824.exe -> Hijacker.Small : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031825.exe -> Adware.Msnagent : Gesäubert mit Backup C:\System Volume Information\_restore{6922788A-2F82-4DFD-AF7B-A4325E5BC291}\RP126\A0031827.exe -> Downloader.Agent.uj : Gesäubert mit Backup D:\System\Icons\sexy.exe -> Dialer.Generic : Gesäubert mit Backup E:\DOWNLOADS\Neuer Ordner\REST\Neuer Ordner123\Rest\Virus\sys.reg -> Hijacker.StartPage : Gesäubert mit Backup :mozilla.6:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup :mozilla.7:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup :mozilla.8:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert mit Backup :mozilla.9:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.10:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.11:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup :mozilla.12:E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Anwendungsdaten\Netscape\NSB\Profiles\i0vwicqj.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup E:\RECYCLER\S-1-5-21-448539723-2025429265-839522115-1003\De2\root\Cookies\root@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup ::Report Ende ============================================================ Logfile of HijackThis v1.99.1 Scan saved at 21:17:12, on 08.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\TBPanel.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\root\Desktop\Downloads\Progs\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Hinternsex Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe O4 - HKLM\..\Run: [dmjve.exe] C:\WINDOWS\system32\dmjve.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\root\LOKALE~1\Temp\hpdj.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe und danke nochmal |
|
|
|
|
|
|
08.04.2006, 21:25
Ehrenmitglied
Beiträge: 29434 |
#6
1.
loesche mit der killbox C:\WINDOWS\system32\dmjve.exe 2. fixe mit dem HijackThis: O4 - HKLM\..\Run: [dmjve.exe] C:\WINDOWS\system32\dmjve.exe pc neustarten 3. poste das log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.04.2006, 22:46
...neu hier
Themenstarter Beiträge: 7 |
#7
sorry, hat etwas gedauert aber musste erst das script host aktivieren
"Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "RemoteCenter" = "C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE" ["Creative Technology Ltd"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS] "PHIME2002ASync" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS] "PHIME2002A" = "C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "CTSysVol" = "C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r" ["Creative Technology Ltd"] "CTDVDDET" = "C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" ["Creative Technology Ltd"] "SBDrvDet" = "C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r" ["Creative Technology Ltd"] "UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."] "Gainward" = "C:\WINDOWS\TBPanel.exe /A" ["Gainward Co."] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "DeviceDiscovery" = "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "Omnipage" = "C:\Programme\ScanSoft\OmniPageSE\opware32.exe" ["ScanSoft, Inc"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"] "YCentral" = "c:\progra~1\yahoo!\YCentral\YahooCentral.exe" ["Yahoo! Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{2F25CF20-C569-11D1-B94C-00608CB45480}" = "TextPad" -> {HKLM...CLSID} = "TextPad" \InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" = "ZipGenius Shell Extension" -> {HKLM...CLSID} = "ZipGenius Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"] "{2E5AC2E0-406D-11D4-86B3-FA5861508E25}" = "ZipGenius Zip InfoTip" -> {HKLM...CLSID} = "ZipGenius InfoTip" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\zgtips.dll" ["M.Dev Software"] "{310A0C95-EA11-42AE-A8E4-53E69E650310}" = "ZipGenius Drop handler" -> {HKLM...CLSID} = "ZipGenius Drag and Drop handler" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL" ["M.Dev Software"] "{FE8D01BF-610A-4261-9C6E-32D65A42C907}" = "ZipGenius DnD Extract handler" -> {HKLM...CLSID} = "ZipGenius DnD Extract handler" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL" ["M.Dev Software"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] TextPad\(Default) = "{2F25CF20-C569-11D1-B94C-00608CB45480}" -> {HKLM...CLSID} = "TextPad" \InProcServer32\(Default) = "C:\Programme\TextPad 4\System\shellext.dll" ["Helios Software Solutions"] ZipGenius 6\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" -> {HKLM...CLSID} = "ZipGenius Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] ZipGenius 6\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" -> {HKLM...CLSID} = "ZipGenius Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ FileWiperContextMenuExtension\(Default) = "{B6BF4AAE-3AB0-4691-9119-2E6C13D38EFD}" -> {HKLM...CLSID} = "FileWiperContextMenuExtension" \InProcServer32\(Default) = "C:\Programme\TweakPower\FileWiper.dll" ["Kurt Zimmermann"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "root" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\root\Startmenü\Programme\Autostart "Stardock ObjectDock" -> shortcut to: "C:\Programme\Stardock\ObjectDock\ObjectDock.exe" ["Stardock"] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "D-Link AirPlus G+ Wireless Adapter Utility" -> shortcut to: "C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE" ["D-Link"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "smnsp.dll" ["Windows (R) 2000 DDK provider"] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{7435856C-6CA1-45CF-A00D-82178387F223}" -> {HKLM...CLSID} = "SECRETMAKER" \InProcServer32\(Default) = "C:\Programme\Secretmaker\secretmakerie.dll" [null data] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]} Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = "hpzsnt08.dll" ["HP"] PDFCreator\Driver = "pdfcmnnt.dll" [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 31 seconds, including 5 seconds for message boxes) |
|
|
|
|
|
|
08.04.2006, 23:35
Ehrenmitglied
Beiträge: 29434 |
#8
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Zitat REGEDIT4Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen. ------- ScanOnline neu Bitdefender -> poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.04.2006, 13:20
...neu hier
Themenstarter Beiträge: 7 |
#9
also das mit den registry-einträgen sollte geklapt haben, aber der Bitdefender scaner verursacht immer irgendnen fehler:
Error while updating from server. File : bdinit.xe Please retry und nachdem man das Land ausgewählt hat: Failed to execute live update Eine Datei kann nicht erstellt werden, wenn sie bereits vorhanden ist. |
|
|
|
|
|
|
09.04.2006, 14:40
Ehrenmitglied
Beiträge: 29434 |
#10
dann versuche es mit einem Scanner, der funktioniert (Panda, kaspersky)
http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.04.2006, 17:50
...neu hier
Themenstarter Beiträge: 7 |
#11
so, hab es jetzt mit panda nochmal versucht.
Not disinfected C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt[37899602] Spyware:Cookie/Server.iad.Liveperson Not disinfected C:\Dokumente und Einstellungen\root\Anwendungsdaten\Mozilla\Firefox\Profiles\dbj8sos2.default\cookies.txt[] Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\root\Cookies\root@atdmt[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\root\Cookies\root@doubleclick[1].txt Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\Smilies1.zip[File121] Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\SmiliesL1.zip[File32] Virus:W32/Parite.B Not disinfected C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\SmiliesL2.zip[File64] Potentially unwanted tool:Application/Pskill.A Not disinfected E:\DOWNLOADS\Neuer Ordner\REST\XP\Pstools211.zip[pskill.exe] Potentially unwanted tool:Application/Psexec.A Not disinfected E:\DOWNLOADS\Neuer Ordner\REST\XP\Pstools211.zip[psexec.exe] |
|
|
|
|
|
|
09.04.2006, 18:00
Ehrenmitglied
Beiträge: 29434 |
#12
hatte ich ganz vergessen--> C:\Programme\UnSpyPC -> deinstallieren/loeschen !!!
(ist der ursprung der malware.....) loesche: C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys\Smilies1.zip C:\Dokumente und Einstellungen\root\Desktop\Downloads\Smilys dann sollte wieder alles in Ordnung sein  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.04.2006, 18:10
...neu hier
Themenstarter Beiträge: 7 |
#13
vielen dank für deine Hilfe - endlich bin ich diesen sch... wieder los
weiter so und Viele Grüße der stinker |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
C:\WINDOWS\system32\favset.exe
C:\WINDOWS\system32\sphlp32.exe
C:\WINDOWS\system32\howiper.exe
Da ich leider überhaupt keinen Plan hab, hab ich unspypc erstma deinstalliert, und CleanUp genau nach der Anleitung durchlaufen lassen. jetzt hab ich aber gelesen, dass mein rechner trotzdem noch verseucht ist
Hier erstmal mein logfile (nach CleanUp und der deinstallation)
Logfile of HijackThis v1.99.1
Scan saved at 21:51:26, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Secretmaker\secretmaker.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\root\Desktop\Downloads\Progs\HijackThis.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Hinternsex Explorer
R3 - URLSearchHook: (no name) - {3A6688F9-8698-53B9-D2A4-7ECA5CAB29A8} - teqq32.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\WINDOWS\system32\smiehlp.dll
O2 - BHO: (no name) - {CE57DA55-F491-45C6-B3DB-6C98E4B17CDC} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SECRETMAKER - {7435856C-6CA1-45CF-A00D-82178387F223} - C:\Programme\Secretmaker\secretmakerie.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\tuajl.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [YCentral] c:\progra~1\yahoo!\YCentral\YahooCentral.exe
O4 - HKLM\..\Run: [Testimonials] trycrt.exe
O4 - HKLM\..\Run: [dePloy] dialer423.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [SYSTRAV] ParisM.exe
O4 - HKCU\..\Run: [wormexe] StatusCheck.exe
O4 - HKCU\..\Run: [sysmon12] scanSYS.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: SECRETMAKER (2).lnk = C:\Programme\Secretmaker\secretmaker.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'smnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAA281F5-D71E-4220-8861-37A5628E195C}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{F83A0E85-3ED1-47BD-AF2C-2C10B47B9485}: NameServer = 85.255.115.26,85.255.112.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAE882F-241A-482B-AF3A-9710EA36E746}: NameServer = 85.255.115.26,85.255.112.110
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: hpdj - Unknown owner - C:\DOKUME~1\root\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
vielen dank schon mal im Voraus.