IE 6.0 leitet auf falsche Internet-Seiten weiter

#0
07.04.2006, 07:05
...neu hier

Beiträge: 3
#1 Moin Zusammen,

ich habe das bekannte Problem, dass ich mir einen Trojaner eingefangen habe. AntiVir haben ich zweimal durchlaufen lassen und er konnte den Trojaner auch entfernen. Anschließend lies ich auch Ad-Aware und Spybot SD ein paar Einträge entfernen.

Nun habe ich aber das Problem, dass mir Google falsche Ergebnisse ausspuckt und mich beim Aufrufen eines Links immer auf einen anderen Server verweist (85.255.117.76).

Ich habe CWShredder ausprobiert (keine Ergebnisse) und Hijack-This. Bei letzterem fand ich zwei entsprechende Einträge und habe diese gefixt. Auch nach mehrmaligem scannen scheint mir die Log nun sauber.

Offenbar ist das System nun wieder clean, denn es wird nichts mehr gefunden, aber dennoch besteht das Problem mit der Weiterleitung.

Ich habe auch schon die Registry nach Einträgen mit der Server-IP 85.255.117.76 gesucht, aber keine gefunden.

Hat jemand eine Idee, was ich noch machen kann außer neu aufsetzen *graus* ??

Danke für eure Hilfe im Voraus.

Playlife
Seitenanfang Seitenende
07.04.2006, 12:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Playlife

Zitat

% Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2006, 16:57
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina!

Habe alles gemacht, wie du mir gesagt hast...

Hier mal die 4 Logs:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 082A-44F7

Verzeichnis von C:\WINDOWS\system32

07.04.2006 16:46 13.646 wpa.dbl
26.03.2006 10:29 39.992 perfc009.dat
26.03.2006 10:29 316.594 perfh007.dat
26.03.2006 10:29 311.604 perfh009.dat
26.03.2006 10:29 48.156 perfc007.dat
26.03.2006 10:29 723.744 PerfStringBackup.INI
11.03.2006 13:51 7.990 jupdate-1.4.2_11-b06.log
10.03.2006 02:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
13.02.2006 12:53 61.555 jpicpl32.cpl
13.02.2006 11:34 45.163 javaw.exe
13.02.2006 11:34 45.161 java.exe
31.01.2006 20:52 93 NULL
21.01.2006 20:35 298.848 FNTCACHE.DAT
18.01.2006 14:05 57.344 avsda.dll
15.01.2006 16:38 259 spupdwxp.log
14.01.2006 19:43 16.832 amcompat.tlb
14.01.2006 19:43 23.392 nscompat.tlb
14.01.2006 17:18 25.065 wmpscheme.xml
14.01.2006 17:16 261 $winnt$.inf
14.01.2006 17:14 2.951 CONFIG.NT
14.01.2006 17:14 488 WindowsLogon.manifest
14.01.2006 17:14 488 logonui.exe.manifest
14.01.2006 17:14 749 ncpa.cpl.manifest
14.01.2006 17:14 749 sapi.cpl.manifest
14.01.2006 17:14 749 wuaucpl.cpl.manifest
14.01.2006 17:14 749 nwc.cpl.manifest
14.01.2006 17:14 749 cdplayer.exe.manifest
14.01.2006 17:12 21.740 emptyregdb.dat
14.01.2006 17:11 0 h323log.txt
12.01.2006 16:40 155.648 NeroCheck.exe
04.01.2006 05:35 68.096 webclnt.dll

---------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 082A-44F7

Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp

07.04.2006 16:47 218 jusched.log
1 Datei(en) 218 Bytes
0 Verzeichnis(se), 13.865.766.912 Bytes frei

---------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 082A-44F7

Verzeichnis von C:\WINDOWS

07.04.2006 16:47 0 0.log
07.04.2006 16:47 1.506.722 WindowsUpdate.log
07.04.2006 16:46 2.048 bootstat.dat
07.04.2006 16:46 30.802 SchedLgU.Txt
07.04.2006 16:37 108.672 ntbtlog.txt
07.04.2006 16:33 31.612 spupdsvc.log
07.04.2006 16:08 8.952 WGA.log
07.04.2006 16:08 28.885 updspapi.log
07.04.2006 16:08 821.206 setupapi.log
06.04.2006 22:53 50 wiaservc.log
06.04.2006 22:53 214 wiadebug.log
06.04.2006 18:23 4.456 rdt.ini
04.04.2006 17:03 55.306 wmsetup.log
03.04.2006 16:28 853 win.ini
03.04.2006 16:28 146 uno.ini
31.03.2006 20:40 116 NeroDigital.ini
01.03.2006 18:02 400 ODBC.INI
28.02.2006 16:20 454 SCROLL.INI
27.02.2006 20:31 227 system.ini
27.02.2006 19:51 208.209 setupact.log
15.02.2006 17:47 652.854 iis6.log
15.02.2006 17:47 129.327 comsetup.log
15.02.2006 17:47 79.012 ntdtcsetup.log
15.02.2006 17:47 26.973 tabletoc.log
15.02.2006 17:47 16.387 ocmsn.log
15.02.2006 17:47 1.374 imsins.log
15.02.2006 17:47 251.268 tsoc.log
15.02.2006 17:47 14.780 KB911927.log
15.02.2006 17:47 284.581 ocgen.log
15.02.2006 17:47 93.178 netfxocm.log
15.02.2006 17:47 20.857 medctroc.Log
15.02.2006 17:47 26.927 msgsocm.log
15.02.2006 17:47 522.633 FaxSetup.log
15.02.2006 17:47 177.106 msmqinst.log
15.02.2006 17:47 9.624 KB911564.log
15.02.2006 17:47 10.146 KB911565.log
15.02.2006 17:46 8.583 KB913446.log
21.01.2006 18:49 0 WININIT.INI
19.01.2006 18:41 12.516 KB900930.log
19.01.2006 18:41 12.159 KB887797.log
16.01.2006 18:25 237 wmsetup10.log
16.01.2006 18:12 2.516 tonlinst.ini
16.01.2006 18:12 130.795 TOSO40.ISU
15.01.2006 19:17 313 nsw.log
15.01.2006 16:44 17.205 KB905915.log
15.01.2006 16:43 9.939 KB885250.log
15.01.2006 16:43 9.979 KB887742.log
15.01.2006 16:43 9.417 KB887472.log
15.01.2006 16:43 5.774 KB886185.log
15.01.2006 16:42 3.209 KB885884.log
15.01.2006 16:39 1.174 OEWABLog.txt
15.01.2006 16:39 360 DtcInstall.log
15.01.2006 16:38 316.640 WMSysPr9.prx
15.01.2006 16:38 868.587 setuplog.txt
15.01.2006 05:02 460.734 svcpack.log
15.01.2006 05:02 223.988 KB912919.log
15.01.2006 05:02 213.678 KB910437.log
15.01.2006 05:02 223.234 KB908519.log
15.01.2006 05:01 214.730 KB905749.log
15.01.2006 05:01 214.181 KB905414.log
15.01.2006 05:01 219.692 KB904706.log
15.01.2006 05:01 224.638 KB902400.log
15.01.2006 05:01 201.022 KB901214.log
15.01.2006 05:01 212.578 KB901017.log
15.01.2006 05:00 222.310 KB900725.log
15.01.2006 05:00 202.519 KB899591.log
15.01.2006 05:00 211.506 KB899589.log
15.01.2006 05:00 203.604 KB899587.log
15.01.2006 05:00 200.798 KB896428.log
15.01.2006 04:59 219.906 KB896424.log
15.01.2006 04:59 205.535 KB896423.log
15.01.2006 04:59 200.438 KB896422.log
15.01.2006 04:59 202.622 KB896358.log
15.01.2006 04:59 202.181 KB893756.log
15.01.2006 04:59 200.449 KB893066.log
15.01.2006 04:58 193.323 KB891781.log
15.01.2006 04:58 207.074 KB890859.log
15.01.2006 04:58 201.155 KB890046.log
15.01.2006 04:58 191.807 KB888302.log
15.01.2006 04:58 191.624 KB888113.log
15.01.2006 04:58 191.338 KB885836.log
15.01.2006 04:58 199.291 KB885835.log
15.01.2006 04:57 192.497 KB873339.log
15.01.2006 04:55 200 cmsetacl.log
15.01.2006 04:55 1.330 sessmgr.setup.log
14.01.2006 19:58 33.622 KB905915-IE6SP1-20051122.175908.log
14.01.2006 19:58 34.044 KB835409.log
14.01.2006 19:57 29.172 KB905495.log
14.01.2006 19:55 14.955 KB892944.log
14.01.2006 19:55 635 xpsp1hfm.log
14.01.2006 19:55 8.917 KB835732.log
14.01.2006 19:54 2.072 vminst.log
14.01.2006 18:44 8.045 KB898461.log
14.01.2006 18:44 8.334 KB893803v2.log
14.01.2006 18:43 5.854 KB842773.log
14.01.2006 18:28 4.371 KB835221.log
14.01.2006 17:17 8.192 REGLOCS.OLD
14.01.2006 17:14 0 control.ini
14.01.2006 17:14 299.552 WMSysPrx.prx
14.01.2006 17:14 4.161 ODBCINST.INI
14.01.2006 17:14 280 Windows Update.log
14.01.2006 17:14 749 WindowsShell.Manifest
14.01.2006 17:12 36 vb.ini
14.01.2006 17:12 37 vbaddin.ini
14.01.2006 17:10 1.920 regopt.log
14.01.2006 17:10 0 Sti_Trace.log
14.01.2006 17:08 0 setuperr.log
18.11.2005 00:12 533.504 opuc.dll


---------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 082A-44F7

Verzeichnis von C:\

07.04.2006 16:54 0 sys.txt
07.04.2006 16:54 8.237 system.txt
07.04.2006 16:53 295 systemtemp.txt
07.04.2006 16:52 97.271 system32.txt
07.04.2006 16:46 1.610.612.736 pagefile.sys
27.02.2006 20:31 211 boot.ini
20.02.2006 22:44 1.991 TDSLCheck.txt
31.01.2006 20:51 283 TO_InstallLog.txt
15.01.2006 04:53 47.564 NTDETECT.COM
15.01.2006 04:53 251.184 ntldr
14.01.2006 17:14 0 IO.SYS
14.01.2006 17:14 0 CONFIG.SYS
14.01.2006 17:14 0 AUTOEXEC.BAT
14.01.2006 17:14 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
15 Datei(en) 1.611.024.724 Bytes
0 Verzeichnis(se), 13.865.746.432 Bytes frei
Und hier die Log von HJT:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:55:48, on 07.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\stsystra.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\j2re1.4.2_11\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\svchost.exe
D:\Software\HijackThis 1.99.1.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_11\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-Online\DSL-Speedmanager\TSMSvc.exe
Hoffe, du kannst mir da weiterhelfen. Danke!!!
Seitenanfang Seitenende
07.04.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Playlife

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten
+
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2006, 17:14
...neu hier

Themenstarter

Beiträge: 3
#5 Hey Sabina,

ich konnte das Problem scheinbar lösen.
Ich habe die Systemwiederherstellung deaktiviert und im abgesichterten Modus nochmal einen Virenscan durchlaufen lassen. Dabei fand er tatsächlich nochmal ein paar Viren. Ad-Aware, Spybot, Bitdefender und CleanUp hab ich ebenfalls nochmal erfolgreich drüberlaufen lassen.

Der Rechner scheint jetzt wieder clean zu sein. Keine ungewöhnlichen Vorkommnisse mehr.

Danke für die Hilfe!!!!

Playlife
Seitenanfang Seitenende
20.04.2006, 19:35
...neu hier

Beiträge: 9
#6 ja- also hallo- bin newbe!
ich hab genau das selbe problem wie playlife! zitat:
Nun habe ich aber das Problem, dass mir Google falsche Ergebnisse ausspuckt und mich beim Aufrufen eines Links immer auf einen anderen Server verweist (85.255.117.76).
genau der selbe server!
so jetzt helft mir mal bidde! hijackthis hab ich die einträge gelöscht- aba die anweisungem von-->sabina hab ich nicht so ganz verstanden
vielleicht könnt ihr nochmal kurz dden richtigen lösungsweg posten-thx.
danke im voraus.
__________
don't hate, celébrate
Seitenanfang Seitenende
20.04.2006, 21:25
Member

Beiträge: 20
#7 Hi Zusammen!

Mir gehts genauso wie thomasz. Das macht einen ganz wahnsinnig. Je länger ich online bin desto weniger funktioniert das ganze.
Adaware und Antivirenkit haben nichts gefunden.

Und das was da oben steht hab ich leider auch nicht wirklich verstanden.

Eine Erklärung für Doofe wäre sehr cool! ;)

Danke
Seitenanfang Seitenende
21.04.2006, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ;) thomasz + pencilmania ;)

0.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis -
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2006, 10:04
Member

Beiträge: 20
#9 Hi Sabina!
Na dann will ich das mal versuchen...

Log-File von blbeta:

Zitat

04/21/06 09:45:23 [Info]: BlackLight Engine 1.0.35 initialized
04/21/06 09:45:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/21/06 09:45:23 [Note]: 7019 4
04/21/06 09:45:23 [Note]: 7005 0
04/21/06 09:45:34 [Note]: 7006 0
04/21/06 09:45:34 [Note]: 7011 1768
04/21/06 09:45:34 [Note]: 7026 0
04/21/06 09:45:34 [Note]: 7026 0
04/21/06 09:45:35 [Note]: FSRAW library version 1.7.1015
04/21/06 09:49:19 [Note]: 7007 0
Hier die Dateien

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS\system32

21.04.2006 09:32 1.543 Kaland_KBD.ini
20.04.2006 18:53 49.152 nvsvcd.exe
20.04.2006 12:06 311.938 perfh009.dat
20.04.2006 12:06 40.326 perfc009.dat
20.04.2006 12:06 317.168 perfh007.dat
20.04.2006 12:06 48.552 perfc007.dat
20.04.2006 12:06 723.568 PerfStringBackup.INI
17.04.2006 00:27 43.520 CmdLineExt03.dll
16.04.2006 00:32 1.158 wpa.dbl
14.04.2006 15:45 219.248 FNTCACHE.DAT
06.04.2006 21:48 5.143.456 MRT.exe
02.04.2006 20:18 52.858 interceptor.sys
02.04.2006 20:17 45.056 WNASPI32.DLL
31.03.2006 02:15 1.273 $winnt$.inf
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
10.03.2006 06:09 5.533.696 wmp.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 1.022.976 browseui.dll
04.03.2006 05:34 152.064 cdfview.dll
24.01.2006 19:34 118.784 sirenacm.dll
04.01.2006 05:35 68.096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\DOKUME~1\Kaland\LOKALE~1\Temp

21.04.2006 09:33 512 ~DF14D9.tmp
1 Datei(en) 512 Bytes
0 Verzeichnis(se), 51.883.413.504 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\WINDOWS

21.04.2006 09:36 3.040 setupapi.log
21.04.2006 09:32 1.077.587 WindowsUpdate.log
21.04.2006 09:32 0 0.log
21.04.2006 09:32 159 wiadebug.log
21.04.2006 09:32 50 wiaservc.log
21.04.2006 09:32 2.048 bootstat.dat
20.04.2006 23:50 30.872 SchedLgU.Txt
20.04.2006 23:48 2.901 mozver.dat
20.04.2006 20:29 155 winamp.ini
20.04.2006 10:22 81.164 ntdtcsetup.log
20.04.2006 10:22 52.974 iis6.log
20.04.2006 10:22 130.588 comsetup.log
20.04.2006 10:22 4.566 imsins.log
20.04.2006 10:22 21.126 ocmsn.log
20.04.2006 10:22 148.592 tsoc.log
20.04.2006 10:22 212.617 ocgen.log
20.04.2006 10:22 19.064 msgsocm.log
20.04.2006 10:22 352.440 FaxSetup.log
20.04.2006 10:19 0 nsreg.dat
20.04.2006 10:19 107.132 UninstallFirefox.exe
19.04.2006 22:56 4.566 imsins.BAK
19.04.2006 14:02 1.829 spupdsvc.log
19.04.2006 13:30 19.408 updspapi.log
19.04.2006 13:28 43.501 wmsetup.log
18.04.2006 22:46 27.403 Adobe PSEle2.log
18.04.2006 22:46 115.751 Adobe PSEle2 Lang Installer.log
14.04.2006 21:57 635 Rtcw.INI
14.04.2006 21:55 9.544 DirectX.log
14.04.2006 21:18 851 QIII.INI
04.04.2006 14:10 29 DEBUGSM.INI
04.04.2006 14:02 1.041.812 EPSTPLOG.TXT
04.04.2006 13:55 31 EPSMTL32.TXT
04.04.2006 13:53 25 CDE CX3600FGD.ini
04.04.2006 13:51 1.115 epsswt_log.txt
03.04.2006 16:53 417 vbface.INI
03.04.2006 15:24 654 SynInst.log
02.04.2006 22:05 573 win.ini
02.04.2006 21:28 8.984 ModemLog_SENS LT56ADW Modem.txt
02.04.2006 19:48 400 ODBC.INI
31.03.2006 09:44 378 wmsetup10.log
31.03.2006 02:16 1.174 OEWABLog.txt
31.03.2006 02:15 5.548 regopt.log
31.03.2006 02:02 641 DtcInstall.log
25.11.2005 18:59 8.192 REGLOCS.OLD
25.11.2005 18:54 61 smscfg.ini
07.11.2005 10:48 3.037 mgxoschk.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 884F-5EB4

Verzeichnis von C:\

21.04.2006 10:00 0 sys.txt
21.04.2006 10:00 5.056 system.txt
21.04.2006 09:59 293 systemtemp.txt
21.04.2006 09:59 100.414 system32.txt
21.04.2006 09:32 1.071.894.528 hiberfil.sys
21.04.2006 09:32 1.610.612.736 pagefile.sys
08.04.2006 21:43 0 AILog.txt
31.03.2006 02:41 211 boot.ini
30.08.2005 10:33 0 AUTOEXEC.BAT
Logfile Hijackthis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:03:22, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\eDonkey2000\eDonkey2000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVK.exe
C:\Dokumente und Einstellungen\Kaland\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\eDonkey2000.exe" -t
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
So, ich hoffe, das war alles richtig so.
Also danke nochmal
Seitenanfang Seitenende
21.04.2006, 12:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 pencilmania

nvsvcd.exe - Backdoor.Win32.IRCBot.nw
http://virus-protect.org/artikel/dienste/nvsvcd.html

-------------------------------------------------------------------------
1.
Click Start>> Ausfuehren>> Type in Services.msc und Click OK!

"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Windows Log

------------------------------------------------------------------------

2.
Start --> Ausfuehren --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

Zitat

sc delete Windows Log
------------------------------------------------------------------------

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\nvsvcd.exe
C:\WINDOWS\system\smss.exe
klicke die gruene Ampel

das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

(poste mir das Log vom Avenger !


4.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

PC neustarten

5.
schreibe mir, was du findest unter:

C:\Temp\

6.
scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

7.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Log


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2006, 13:05
...neu hier

Beiträge: 9
#11 ja also danke schon mal!
hier das bt...exe dingens-log!:

04/21/06 12:46:05 [Info]: BlackLight Engine 1.0.35 initialized
04/21/06 12:46:05 [Info]: OS: 5.1 build 2600 (Service Pack 1)
04/21/06 12:46:05 [Note]: 7019 4
04/21/06 12:46:05 [Note]: 7005 0
04/21/06 12:46:08 [Note]: 7006 0
04/21/06 12:46:08 [Note]: 7011 1768
04/21/06 12:46:08 [Note]: 7026 0
04/21/06 12:46:08 [Note]: 7026 0
04/21/06 12:46:08 [Note]: FSRAW library version 1.7.1015
04/21/06 12:46:53 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/21/06 12:46:53 [Note]: 10002 1
04/21/06 12:46:56 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/21/06 12:46:56 [Note]: 10002 1
04/21/06 12:47:02 [Info]: Hidden file: C:\WINDOWS\system32\csddk.exe
04/21/06 12:47:02 [Note]: 7002 32
04/21/06 12:47:02 [Note]: 7003 1
04/21/06 12:47:02 [Note]: 10002 1
04/21/06 12:47:04 [Info]: Hidden file: C:\WINDOWS\system32\dmdsk.exe
04/21/06 12:47:04 [Note]: 7002 32
04/21/06 12:47:04 [Note]: 7003 1
04/21/06 12:47:04 [Note]: 10002 1
04/21/06 12:47:07 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/21/06 12:47:07 [Note]: 10002 1
04/21/06 12:49:05 [Note]: 7007 0

so hier diese anderen

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 2CEC-7AE2

Verzeichnis von C:\WINDOWS\system32
21.04.2006 12:33 41.117 vsconfig.xml
21.04.2006 12:17 2.126 wpa.dbl
15.04.2006 00:44 75.264 winbrume.dll
30.03.2006 14:37 4.212 zllictbl.dat
26.03.2006 17:47 39.992 perfc009.dat
26.03.2006 17:47 311.604 perfh009.dat
26.03.2006 17:47 316.594 perfh007.dat
26.03.2006 17:47 48.156 perfc007.dat
26.03.2006 17:47 723.568 PerfStringBackup.INI
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll


nummero2:
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 2CEC-7AE2

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

21.04.2006 12:57 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}4566.html
21.04.2006 12:56 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13633.html
21.04.2006 12:55 16.384 ~DFA881.tmp
21.04.2006 12:55 512 ~DF8A79.tmp
21.04.2006 12:55 16.384 ~DF8A53.tmp
21.04.2006 12:55 218 jusched.log
21.04.2006 12:55 16.384 ~DF1C93.tmp
21.04.2006 12:55 16.384 ~DF1C22.tmp
21.04.2006 12:55 16.384 ~DF1C49.tmp
21.04.2006 12:55 16.384 ~DF1C6E.tmp
21.04.2006 12:35 16.384 ~DF4698.tmp
21.04.2006 12:35 16.384 ~DF33B9.tmp
12 Datei(en) 133.763 Bytes
0 Verzeichnis(se), 43.965.521.920 Bytes frei

nummero3:
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 2CEC-7AE2

Verzeichnis von C:\WINDOWS

21.04.2006 12:55 1.616.465 WindowsUpdate.log
21.04.2006 12:33 4.286 ModemLog_Aztech CNR2900 V.90 Modem.txt
21.04.2006 12:33 0 0.log
21.04.2006 12:32 2.048 bootstat.dat
20.04.2006 23:53 32.626 SchedLgU.Txt
19.04.2006 03:12 155 winamp.ini
18.04.2006 20:29 1.409 QTFont.for
18.04.2006 20:29 54.156 QTFont.qfn
17.04.2006 13:00 353.963 DirectX.log
17.04.2006 13:00 643.704 setupapi.log
16.04.2006 19:06 4.456 rdt.ini
14.04.2006 21:57 227.003 wmsetup.log
09.04.2006 13:00 10 popcinfo.dat
27.03.2006 18:48 471 CrocPhys.INI
21.03.2006 23:54 216 wiadebug.log
21.03.2006 22:39 50 wiaservc.log
14.03.2006 21:28 249.525 stromberg.prv
14.03.2006 21:28 28.672 gscr.dll
14.03.2006 21:28 1.253.053 stromberg.exe
14.03.2006 21:28 883.880 stromberg.scr
25.02.2006 16:52 357 GEARInstall.log
18.02.2006 17:31 250 accessdll.log
18.02.2006 17:31 107 avmsysnet.log
18.02.2006 17:29 1.504 avmadd32.log
18.02.2006 17:24 322 accessdll1.log
14.02.2006 17:14 3.001 dasetup.log
14.02.2006 17:14 316.640 WMSysPr9.prx


nummero4:

Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 2CEC-7AE2

Verzeichnis von C:\

21.04.2006 13:03 0 sys.txt
21.04.2006 13:02 9.984 system.txt
21.04.2006 13:02 916 systemtemp.txt
21.04.2006 13:00 99.920 system32.txt
21.04.2006 12:32 536.399.872 hiberfil.sys
21.04.2006 12:32 188.743.680 pagefile.sys
25.03.2004 18:09 0 IO.SYS
25.03.2004 18:09 0 MSDOS.SYS
06.03.2004 17:31 276 BOOT.INI
09.02.2004 16:33 193 BOOT.BAK
02.04.2003 14:00 248.096 cmldr
02.04.2003 14:00 4.952 bootfont.bin
02.04.2003 14:00 47.580 NTDETECT.COM
02.04.2003 14:00 235.296 ntldr
24.05.2001 13:59 162.304 UNWISE.EXE
15 Datei(en) 725.953.069 Bytes
0 Verzeichnis(se), 43.965.505.536 Bytes frei

und zu guterletzt hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:04:34, on 21.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Tom\Desktop\FunRO\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {89BEB8C1-4541-C83D-3746-56A77A95D511} - 34763.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [iehelper] new32.exe
O4 - HKLM\..\Run: [new32] Serviceprocess.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NopeZ] Brong32.exe
O4 - HKCU\..\Run: [Dest068] NukeSpan.exe
O4 - HKCU\..\Run: [StartCpl] progmen.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.flatcast.com/de/download/NpFv412.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LogoMedia TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

das da wäre alles Anmerk:ich hab bei hijac´kthis schon 4 zeilen mit der ip von 85.255.117 gefixt!

thx
__________
don't hate, celébrate
Seitenanfang Seitenende
21.04.2006, 13:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 thomasz

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Files to delete:

Zitat

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\csddk.exe
C:\WINDOWS\system32\dmdsk.exe
C:\WINDOWS\system32\pppcgm.exe
C:\WINDOWS\system32\winbrume.dll
C:\WINDOWS\rdt.ini
klicke die gruene Ampel

das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
(poste mir das Log vom Avenger !

3.
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - {89BEB8C1-4541-C83D-3746-56A77A95D511} - 34763.dll (file missing)
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O4 - HKLM\..\Run: [iehelper] new32.exe
O4 - HKLM\..\Run: [new32] Serviceprocess.exe
O4 - HKCU\..\Run: [NopeZ] Brong32.exe
O4 - HKCU\..\Run: [Dest068] NukeSpan.exe
O4 - HKCU\..\Run: [StartCpl] progmen.exe

PC neustarten

4.
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (hier posten)

5.
Dr.Web
http://virus-protect.org/cureit.html
Poste bitte das, was drweb gefuinden hat. Dazu unter Start - Ausfuehren

%userprofil%\doctorweb\cureit.log

eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. ...das haeisst...nur die Virenmeldungen ;)

6.
poste das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2006, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 schau mal unter diesem Pfad:

C:\avenger\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.04.2006, 15:11
...neu hier

Beiträge: 9
#14 //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qthengut

*******************

Script file located at: \??\C:\WINDOWS\System32\mraxmpoa.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\filesafer23.exe not found!
Deletion of file C:\WINDOWS\system32\filesafer23.exe failed!

Could not process line:
C:\WINDOWS\system32\filesafer23.exe
Status: 0xc0000034



File C:\WINDOWS\system32\csddk.exe not found!
Deletion of file C:\WINDOWS\system32\csddk.exe failed!

Could not process line:
C:\WINDOWS\system32\csddk.exe
Status: 0xc0000034



File C:\WINDOWS\system32\dmdsk.exe not found!
Deletion of file C:\WINDOWS\system32\dmdsk.exe failed!

Could not process line:
C:\WINDOWS\system32\dmdsk.exe
Status: 0xc0000034



File C:\WINDOWS\system32\pppcgm.exe not found!
Deletion of file C:\WINDOWS\system32\pppcgm.exe failed!

Could not process line:
C:\WINDOWS\system32\pppcgm.exe
Status: 0xc0000034



File C:\WINDOWS\system32\winbrume.dll not found!
Deletion of file C:\WINDOWS\system32\winbrume.dll failed!

Could not process line:
C:\WINDOWS\system32\winbrume.dll
Status: 0xc0000034

File C:\WINDOWS\rdt.ini not found!
Deletion of file C:\WINDOWS\rdt.ini failed!

Could not process line:
C:\WINDOWS\rdt.ini
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

sind 2 reports?!!!!


Fixwareout ver 1.003
Last edited 2/15/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\plrmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...

Random Runs removed from HKLM
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmrlp.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
...

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE

UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool
!!!

ich kann den log für doctorweb net finden!


is das die richtige?
"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Sonic RecordNow!" = (empty string)
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"NopeZ" = "Brong32.exe" [file not found]
"Dest068" = "NukeSpan.exe" [file not found]
"StartCpl" = "progmen.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [null data]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"SsAAD.exe" = "C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]
"iehelper" = "new32.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = (no title provided)
-> {HKLM...CLSID} = "WebSpeechBHO Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech20\LgxIEBar.dll" [empty string]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]


ahem*
doctorweb: wennes das sein sol^^!


Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.03283)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-04-21, 14:10:19 [TOM][Tom]
Befehlszeilen-Schalter: "C:\DOKUME~1\Tom\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini

C:\hiberfil.sys - Lesefehler
>C:\Avenger\pppcgm.exe infiziert mit Trojan.Fakealert - gelöscht
>C:\Avenger\winbrume.dll ist ein Adware-Programm Adware.Voghp
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Tom\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Tom\NTUSER~1.LOG - Lesefehler
>C:\Dokumente und Einstellungen\Tom\Desktop\FunRO\Neuer Ordner\backups\backup-20060420-191656-154.dll ist ein Adware-Programm Adware.Voghp
C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\~DF84B4.tmp - Lesefehler
C:\DRIVERS\POSTOOBE.NEC infiziert mit VBS.Generic.278 - gelöscht
>C:\Programme\Internet Explorer\update.exe infiziert mit Trojan.MulDrop.3652 - gelöscht
C:\Programme\WISO\Sparbuch 2005\patchw32.dll möglicherweise infiziert mit WIN.WORM.Virus
>C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP392\A0036620.exe infiziert mit Trojan.Fakealert - gelöscht
>C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP392\A0036622.exe infiziert mit Trojan.MulDrop.3652 - gelöscht

C:\WINDOWS\SoftwareDistribution\EventCache\{C87AC~1.BIN - Lesefehler
C:\WINDOWS\system32\config\DEFAULT - Lesefehler
C:\WINDOWS\system32\config\DEFAULT.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\SOFTWARE - Lesefehler
C:\WINDOWS\system32\config\SOFTWARE.LOG - Lesefehler
C:\WINDOWS\system32\config\SYSTEM - Lesefehler
C:\WINDOWS\system32\config\SYSTEM.LOG - Lesefehler
C:\WINDOWS\Temp\ZLT06228.TMP - Lesefehler


Prüfstatistiken

Geprüfte Objekte: 124712
Infizierte Objekte gefunden: 5
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 2
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 5
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1241 Kb/s
Dauer:: 00:50:06



Prüfstatistiken

Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00


thx- sabina du bist mein persömlicher tages-hero!
__________
don't hate, celébrate
Dieser Beitrag wurde am 21.04.2006 um 15:20 Uhr von thomasz editiert.
Seitenanfang Seitenende
21.04.2006, 17:34
Member

Beiträge: 20
#15

Zitat

Hi!
Irgendwie kann ich den ersten schritt nicht machen. wo soll ich das einstellen? muss ich das runterladen oder online machen?
Lg
der erste link ist nur eine Information zum Virus ;)

UND:
Klicke: Start>> Ausfuehren>> Type in Services.msc und klicke: OK!

musst du an deinem PC machen
Seitenanfang Seitenende