IE 6.0 leitet auf falsche Internet-Seiten weiter |
||
---|---|---|
#0
| ||
07.04.2006, 07:05
...neu hier
Beiträge: 3 |
||
|
||
07.04.2006, 12:21
Ehrenmitglied
Beiträge: 29434 |
#2
Playlife
Zitat % Information related to '85.255.112.0 - 85.255.127.255'1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Hijackthis - http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2006, 16:57
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Sabina!
Habe alles gemacht, wie du mir gesagt hast... Hier mal die 4 Logs: Zitat Volume in Laufwerk C: hat keine Bezeichnung.Und hier die Log von HJT: Zitat Logfile of HijackThis v1.99.1Hoffe, du kannst mir da weiterhelfen. Danke!!! |
|
|
||
07.04.2006, 23:58
Ehrenmitglied
Beiträge: 29434 |
#4
Playlife
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten + poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2006, 17:14
...neu hier
Themenstarter Beiträge: 3 |
#5
Hey Sabina,
ich konnte das Problem scheinbar lösen. Ich habe die Systemwiederherstellung deaktiviert und im abgesichterten Modus nochmal einen Virenscan durchlaufen lassen. Dabei fand er tatsächlich nochmal ein paar Viren. Ad-Aware, Spybot, Bitdefender und CleanUp hab ich ebenfalls nochmal erfolgreich drüberlaufen lassen. Der Rechner scheint jetzt wieder clean zu sein. Keine ungewöhnlichen Vorkommnisse mehr. Danke für die Hilfe!!!! Playlife |
|
|
||
20.04.2006, 19:35
...neu hier
Beiträge: 9 |
#6
ja- also hallo- bin newbe!
ich hab genau das selbe problem wie playlife! zitat: Nun habe ich aber das Problem, dass mir Google falsche Ergebnisse ausspuckt und mich beim Aufrufen eines Links immer auf einen anderen Server verweist (85.255.117.76). genau der selbe server! so jetzt helft mir mal bidde! hijackthis hab ich die einträge gelöscht- aba die anweisungem von-->sabina hab ich nicht so ganz verstanden vielleicht könnt ihr nochmal kurz dden richtigen lösungsweg posten-thx. danke im voraus. __________ don't hate, celébrate |
|
|
||
20.04.2006, 21:25
Member
Beiträge: 20 |
#7
Hi Zusammen!
Mir gehts genauso wie thomasz. Das macht einen ganz wahnsinnig. Je länger ich online bin desto weniger funktioniert das ganze. Adaware und Antivirenkit haben nichts gefunden. Und das was da oben steht hab ich leider auch nicht wirklich verstanden. Eine Erklärung für Doofe wäre sehr cool! Danke |
|
|
||
21.04.2006, 00:41
Ehrenmitglied
Beiträge: 29434 |
#8
thomasz + pencilmania
0. Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Hijackthis - http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2006, 10:04
Member
Beiträge: 20 |
#9
Hi Sabina!
Na dann will ich das mal versuchen... Log-File von blbeta: Zitat 04/21/06 09:45:23 [Info]: BlackLight Engine 1.0.35 initializedHier die Dateien Zitat Volume in Laufwerk C: hat keine Bezeichnung.Logfile Hijackthis: Zitat Logfile of HijackThis v1.99.1So, ich hoffe, das war alles richtig so. Also danke nochmal |
|
|
||
21.04.2006, 12:32
Ehrenmitglied
Beiträge: 29434 |
#10
pencilmania
nvsvcd.exe - Backdoor.Win32.IRCBot.nw http://virus-protect.org/artikel/dienste/nvsvcd.html ------------------------------------------------------------------------- 1. Click Start>> Ausfuehren>> Type in Services.msc und Click OK! "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert" Windows Log ------------------------------------------------------------------------ 2. Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K. Zitat sc delete Windows Log------------------------------------------------------------------------ 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten (poste mir das Log vom Avenger ! 4. öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe PC neustarten 5. schreibe mir, was du findest unter: C:\Temp\ 6. scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html 7. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Log in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2006, 13:05
...neu hier
Beiträge: 9 |
#11
ja also danke schon mal!
hier das bt...exe dingens-log!: 04/21/06 12:46:05 [Info]: BlackLight Engine 1.0.35 initialized 04/21/06 12:46:05 [Info]: OS: 5.1 build 2600 (Service Pack 1) 04/21/06 12:46:05 [Note]: 7019 4 04/21/06 12:46:05 [Note]: 7005 0 04/21/06 12:46:08 [Note]: 7006 0 04/21/06 12:46:08 [Note]: 7011 1768 04/21/06 12:46:08 [Note]: 7026 0 04/21/06 12:46:08 [Note]: 7026 0 04/21/06 12:46:08 [Note]: FSRAW library version 1.7.1015 04/21/06 12:46:53 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 04/21/06 12:46:53 [Note]: 10002 1 04/21/06 12:46:56 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 04/21/06 12:46:56 [Note]: 10002 1 04/21/06 12:47:02 [Info]: Hidden file: C:\WINDOWS\system32\csddk.exe 04/21/06 12:47:02 [Note]: 7002 32 04/21/06 12:47:02 [Note]: 7003 1 04/21/06 12:47:02 [Note]: 10002 1 04/21/06 12:47:04 [Info]: Hidden file: C:\WINDOWS\system32\dmdsk.exe 04/21/06 12:47:04 [Note]: 7002 32 04/21/06 12:47:04 [Note]: 7003 1 04/21/06 12:47:04 [Note]: 10002 1 04/21/06 12:47:07 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 04/21/06 12:47:07 [Note]: 10002 1 04/21/06 12:49:05 [Note]: 7007 0 so hier diese anderen Datentr„ger in Laufwerk C: ist HDD Volumeseriennummer: 2CEC-7AE2 Verzeichnis von C:\WINDOWS\system32 21.04.2006 12:33 41.117 vsconfig.xml 21.04.2006 12:17 2.126 wpa.dbl 15.04.2006 00:44 75.264 winbrume.dll 30.03.2006 14:37 4.212 zllictbl.dat 26.03.2006 17:47 39.992 perfc009.dat 26.03.2006 17:47 311.604 perfh009.dat 26.03.2006 17:47 316.594 perfh007.dat 26.03.2006 17:47 48.156 perfc007.dat 26.03.2006 17:47 723.568 PerfStringBackup.INI 16.03.2006 11:34 71.448 zlcommdb.dll 16.03.2006 11:34 79.640 zlcomm.dll 16.03.2006 11:33 100.120 vsxml.dll 16.03.2006 11:33 382.744 vsutil.dll 16.03.2006 11:33 71.448 vsregexp.dll 16.03.2006 11:33 227.096 vspubapi.dll nummero2: Datentr„ger in Laufwerk C: ist HDD Volumeseriennummer: 2CEC-7AE2 Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp 21.04.2006 12:57 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}4566.html 21.04.2006 12:56 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13633.html 21.04.2006 12:55 16.384 ~DFA881.tmp 21.04.2006 12:55 512 ~DF8A79.tmp 21.04.2006 12:55 16.384 ~DF8A53.tmp 21.04.2006 12:55 218 jusched.log 21.04.2006 12:55 16.384 ~DF1C93.tmp 21.04.2006 12:55 16.384 ~DF1C22.tmp 21.04.2006 12:55 16.384 ~DF1C49.tmp 21.04.2006 12:55 16.384 ~DF1C6E.tmp 21.04.2006 12:35 16.384 ~DF4698.tmp 21.04.2006 12:35 16.384 ~DF33B9.tmp 12 Datei(en) 133.763 Bytes 0 Verzeichnis(se), 43.965.521.920 Bytes frei nummero3: Datentr„ger in Laufwerk C: ist HDD Volumeseriennummer: 2CEC-7AE2 Verzeichnis von C:\WINDOWS 21.04.2006 12:55 1.616.465 WindowsUpdate.log 21.04.2006 12:33 4.286 ModemLog_Aztech CNR2900 V.90 Modem.txt 21.04.2006 12:33 0 0.log 21.04.2006 12:32 2.048 bootstat.dat 20.04.2006 23:53 32.626 SchedLgU.Txt 19.04.2006 03:12 155 winamp.ini 18.04.2006 20:29 1.409 QTFont.for 18.04.2006 20:29 54.156 QTFont.qfn 17.04.2006 13:00 353.963 DirectX.log 17.04.2006 13:00 643.704 setupapi.log 16.04.2006 19:06 4.456 rdt.ini 14.04.2006 21:57 227.003 wmsetup.log 09.04.2006 13:00 10 popcinfo.dat 27.03.2006 18:48 471 CrocPhys.INI 21.03.2006 23:54 216 wiadebug.log 21.03.2006 22:39 50 wiaservc.log 14.03.2006 21:28 249.525 stromberg.prv 14.03.2006 21:28 28.672 gscr.dll 14.03.2006 21:28 1.253.053 stromberg.exe 14.03.2006 21:28 883.880 stromberg.scr 25.02.2006 16:52 357 GEARInstall.log 18.02.2006 17:31 250 accessdll.log 18.02.2006 17:31 107 avmsysnet.log 18.02.2006 17:29 1.504 avmadd32.log 18.02.2006 17:24 322 accessdll1.log 14.02.2006 17:14 3.001 dasetup.log 14.02.2006 17:14 316.640 WMSysPr9.prx nummero4: Datentr„ger in Laufwerk C: ist HDD Volumeseriennummer: 2CEC-7AE2 Verzeichnis von C:\ 21.04.2006 13:03 0 sys.txt 21.04.2006 13:02 9.984 system.txt 21.04.2006 13:02 916 systemtemp.txt 21.04.2006 13:00 99.920 system32.txt 21.04.2006 12:32 536.399.872 hiberfil.sys 21.04.2006 12:32 188.743.680 pagefile.sys 25.03.2004 18:09 0 IO.SYS 25.03.2004 18:09 0 MSDOS.SYS 06.03.2004 17:31 276 BOOT.INI 09.02.2004 16:33 193 BOOT.BAK 02.04.2003 14:00 248.096 cmldr 02.04.2003 14:00 4.952 bootfont.bin 02.04.2003 14:00 47.580 NTDETECT.COM 02.04.2003 14:00 235.296 ntldr 24.05.2001 13:59 162.304 UNWISE.EXE 15 Datei(en) 725.953.069 Bytes 0 Verzeichnis(se), 43.965.505.536 Bytes frei und zu guterletzt hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 13:04:34, on 21.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe C:\WINDOWS\slrundll.exe C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Tom\Desktop\FunRO\Neuer Ordner\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {89BEB8C1-4541-C83D-3746-56A77A95D511} - 34763.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [iehelper] new32.exe O4 - HKLM\..\Run: [new32] Serviceprocess.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NopeZ] Brong32.exe O4 - HKCU\..\Run: [Dest068] NukeSpan.exe O4 - HKCU\..\Run: [StartCpl] progmen.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.flatcast.com/de/download/NpFv412.dll O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe das da wäre alles Anmerk:ich hab bei hijac´kthis schon 4 zeilen mit der ip von 85.255.117 gefixt! thx __________ don't hate, celébrate |
|
|
||
21.04.2006, 13:23
Ehrenmitglied
Beiträge: 29434 |
#12
thomasz
1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Files to delete: Zitat C:\WINDOWS\system32\filesafer23.exeklicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 2. (poste mir das Log vom Avenger ! 3. öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten R3 - URLSearchHook: (no name) - {89BEB8C1-4541-C83D-3746-56A77A95D511} - 34763.dll (file missing) O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O4 - HKLM\..\Run: [iehelper] new32.exe O4 - HKLM\..\Run: [new32] Serviceprocess.exe O4 - HKCU\..\Run: [NopeZ] Brong32.exe O4 - HKCU\..\Run: [Dest068] NukeSpan.exe O4 - HKCU\..\Run: [StartCpl] progmen.exe PC neustarten 4. Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (hier posten) 5. Dr.Web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. ...das haeisst...nur die Virenmeldungen 6. poste das Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.04.2006, 14:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.04.2006, 15:11
...neu hier
Beiträge: 9 |
#14
//////////////////////////////////////////
Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 0 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qthengut ******************* Script file located at: \??\C:\WINDOWS\System32\mraxmpoa.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\filesafer23.exe not found! Deletion of file C:\WINDOWS\system32\filesafer23.exe failed! Could not process line: C:\WINDOWS\system32\filesafer23.exe Status: 0xc0000034 File C:\WINDOWS\system32\csddk.exe not found! Deletion of file C:\WINDOWS\system32\csddk.exe failed! Could not process line: C:\WINDOWS\system32\csddk.exe Status: 0xc0000034 File C:\WINDOWS\system32\dmdsk.exe not found! Deletion of file C:\WINDOWS\system32\dmdsk.exe failed! Could not process line: C:\WINDOWS\system32\dmdsk.exe Status: 0xc0000034 File C:\WINDOWS\system32\pppcgm.exe not found! Deletion of file C:\WINDOWS\system32\pppcgm.exe failed! Could not process line: C:\WINDOWS\system32\pppcgm.exe Status: 0xc0000034 File C:\WINDOWS\system32\winbrume.dll not found! Deletion of file C:\WINDOWS\system32\winbrume.dll failed! Could not process line: C:\WINDOWS\system32\winbrume.dll Status: 0xc0000034 File C:\WINDOWS\rdt.ini not found! Deletion of file C:\WINDOWS\rdt.ini failed! Could not process line: C:\WINDOWS\rdt.ini Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool sind 2 reports?!!!! Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\plrmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dmrlp.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool !!! ich kann den log für doctorweb net finden! is das die richtige? "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Sonic RecordNow!" = (empty string) "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "NopeZ" = "Brong32.exe" [file not found] "Dest068" = "NukeSpan.exe" [file not found] "StartCpl" = "progmen.exe" [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."] "ATIPTA" = "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [null data] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"] "SsAAD.exe" = "C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [null data] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] "iehelper" = "new32.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = (no title provided) -> {HKLM...CLSID} = "WebSpeechBHO Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll" [empty string] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] ahem* doctorweb: wennes das sein sol^^! Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.03283) Copyright (c) Igor Daniloff, 1992-2006 Bericht erstellt auf: 2006-04-21, 14:10:19 [TOM][Tom] Befehlszeilen-Schalter: "C:\DOKUME~1\Tom\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini C:\hiberfil.sys - Lesefehler >C:\Avenger\pppcgm.exe infiziert mit Trojan.Fakealert - gelöscht >C:\Avenger\winbrume.dll ist ein Adware-Programm Adware.Voghp C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Tom\NTUSER.DAT - Lesefehler C:\Dokumente und Einstellungen\Tom\NTUSER~1.LOG - Lesefehler >C:\Dokumente und Einstellungen\Tom\Desktop\FunRO\Neuer Ordner\backups\backup-20060420-191656-154.dll ist ein Adware-Programm Adware.Voghp C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\~DF84B4.tmp - Lesefehler C:\DRIVERS\POSTOOBE.NEC infiziert mit VBS.Generic.278 - gelöscht >C:\Programme\Internet Explorer\update.exe infiziert mit Trojan.MulDrop.3652 - gelöscht C:\Programme\WISO\Sparbuch 2005\patchw32.dll möglicherweise infiziert mit WIN.WORM.Virus >C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP392\A0036620.exe infiziert mit Trojan.Fakealert - gelöscht >C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP392\A0036622.exe infiziert mit Trojan.MulDrop.3652 - gelöscht C:\WINDOWS\SoftwareDistribution\EventCache\{C87AC~1.BIN - Lesefehler C:\WINDOWS\system32\config\DEFAULT - Lesefehler C:\WINDOWS\system32\config\DEFAULT.LOG - Lesefehler C:\WINDOWS\system32\config\SAM - Lesefehler C:\WINDOWS\system32\config\SAM.LOG - Lesefehler C:\WINDOWS\system32\config\SECURITY - Lesefehler C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler C:\WINDOWS\system32\config\SOFTWARE - Lesefehler C:\WINDOWS\system32\config\SOFTWARE.LOG - Lesefehler C:\WINDOWS\system32\config\SYSTEM - Lesefehler C:\WINDOWS\system32\config\SYSTEM.LOG - Lesefehler C:\WINDOWS\Temp\ZLT06228.TMP - Lesefehler Prüfstatistiken Geprüfte Objekte: 124712 Infizierte Objekte gefunden: 5 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 1 Adware-Programm gefunden: 2 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 1241 Kb/s Dauer:: 00:50:06 Prüfstatistiken Geprüfte Objekte: 0 Infizierte Objekte gefunden: 0 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 0 Adware-Programm gefunden: 0 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 0 Umbenannte Objekte: 0 Verschobene Objekte: 0 Ignorierte Objekte: 0 Leistung:: 0 Kb/s Dauer:: 00:00:00 thx- sabina du bist mein persömlicher tages-hero! __________ don't hate, celébrate Dieser Beitrag wurde am 21.04.2006 um 15:20 Uhr von thomasz editiert.
|
|
|
||
21.04.2006, 17:34
Member
Beiträge: 20 |
#15
Zitat Hi!der erste link ist nur eine Information zum Virus UND: Klicke: Start>> Ausfuehren>> Type in Services.msc und klicke: OK! musst du an deinem PC machen |
|
|
||
ich habe das bekannte Problem, dass ich mir einen Trojaner eingefangen habe. AntiVir haben ich zweimal durchlaufen lassen und er konnte den Trojaner auch entfernen. Anschließend lies ich auch Ad-Aware und Spybot SD ein paar Einträge entfernen.
Nun habe ich aber das Problem, dass mir Google falsche Ergebnisse ausspuckt und mich beim Aufrufen eines Links immer auf einen anderen Server verweist (85.255.117.76).
Ich habe CWShredder ausprobiert (keine Ergebnisse) und Hijack-This. Bei letzterem fand ich zwei entsprechende Einträge und habe diese gefixt. Auch nach mehrmaligem scannen scheint mir die Log nun sauber.
Offenbar ist das System nun wieder clean, denn es wird nichts mehr gefunden, aber dennoch besteht das Problem mit der Weiterleitung.
Ich habe auch schon die Registry nach Einträgen mit der Server-IP 85.255.117.76 gesucht, aber keine gefunden.
Hat jemand eine Idee, was ich noch machen kann außer neu aufsetzen *graus* ??
Danke für eure Hilfe im Voraus.
Playlife