Hatte mir TR/Click.526 engefangen. |
||
---|---|---|
#0
| ||
08.04.2006, 22:02
...neu hier
Beiträge: 8 |
||
|
||
09.04.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#2
SethSkeenz69
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 00:44
...neu hier
Themenstarter Beiträge: 8 |
#3
Hi,
hier das System32 log! Datentr„ger in Laufwerk C: ist Seth's Space Volumeseriennummer: 00D0-CCA1 Verzeichnis von C:\WINDOWS\system32 09.04.2006 00:32 40.928 nvapps.xml 07.04.2006 00:58 1.374 wpa.dbl 06.04.2006 21:00 380.350 perfh009.dat 06.04.2006 21:00 52.764 perfc009.dat 06.04.2006 21:00 63.580 perfc007.dat 06.04.2006 21:00 391.000 perfh007.dat 06.04.2006 21:00 895.488 PerfStringBackup.INI 06.04.2006 00:04 51.216 cszgp.exe.ren 30.03.2006 16:41 128.504 FNTCACHE.DAT 16.03.2006 16:53 16.832 amcompat.tlb 16.03.2006 16:53 23.392 nscompat.tlb 16.03.2006 01:05 7.990 jupdate-1.4.2_11-b06.log 15.03.2006 19:48 7.006 jupdate-1.5.0_06-b05.log 10.03.2006 02:10 4.799.320 MRT.exe 08.02.2006 17:31 454.162 x264vfw.dll 01.02.2006 23:20 43.520 CmdLineExt03.dll 27.01.2006 15:36 6.144 ff_vfw.dll 18.01.2006 14:05 57.344 avsda.dll 04.01.2006 05:35 68.096 webclnt.dll hier das aus der systemtemp: Datentr„ger in Laufwerk C: ist Seth's Space Volumeseriennummer: 00D0-CCA1 Verzeichnis von C:\DOKUME~1\Machai\LOKALE~1\Temp 05.11.2002 15:16 647 Skin.ini 1 Datei(en) 647 Bytes 0 Verzeichnis(se), 109.556.850.688 Bytes frei und das von Windows: Datentr„ger in Laufwerk C: ist Seth's Space Volumeseriennummer: 00D0-CCA1 Verzeichnis von C:\WINDOWS 09.04.2006 00:32 0 0.log 09.04.2006 00:32 1.349.983 WindowsUpdate.log 09.04.2006 00:32 2.048 bootstat.dat 09.04.2006 00:31 32.526 SchedLgU.Txt 07.04.2006 22:04 438 LEXSTAT.INI 06.04.2006 23:36 26 Lic.xxx 06.04.2006 23:33 90.960 ntbtlog.txt 06.04.2006 23:21 185.223 setupact.log 06.04.2006 21:00 44.447 iis6.log 06.04.2006 21:00 107.983 comsetup.log 06.04.2006 21:00 66.214 ntdtcsetup.log 06.04.2006 21:00 123.262 tsoc.log 06.04.2006 21:00 4.507 imsins.log 06.04.2006 21:00 16.931 ocmsn.log 06.04.2006 21:00 168.695 ocgen.log 06.04.2006 21:00 15.634 msgsocm.log 06.04.2006 21:00 288.308 FaxSetup.log 06.04.2006 21:00 425.203 setupapi.log 06.04.2006 00:07 4.395 rdt.ini 04.04.2006 12:31 170.530 wmsetup.log 31.03.2006 19:55 216 wiadebug.log 31.03.2006 16:36 50 wiaservc.log 31.03.2006 13:04 832 Active Setup Log.txt 30.03.2006 10:50 0 Sti_Trace.log 29.03.2006 19:32 73.318 DirectX.log 27.03.2006 23:00 1.917 imsins.BAK 27.03.2006 23:00 0 setuperr.log 20.03.2006 21:58 248 accessdll.log 17.03.2006 11:51 2.737 spupdsvc.log 17.03.2006 10:04 16.836 KB911565.log 17.03.2006 03:13 1.454 COM+.log 16.03.2006 16:54 460 wmsetup10.log 16.03.2006 16:53 316.640 WMSysPr9.prx 08.03.2006 22:49 11.630 ModemLog_Smart Link 56K Voice Modem.txt 24.02.2006 15:34 227 system.ini 20.02.2006 16:28 7.992 KB911564.log 20.02.2006 16:27 6.603 KB913446.log 19.02.2006 18:12 11.078 KB911927.log 19.02.2006 18:12 14.676 updspapi.log 18.02.2006 12:04 309 nsw.log 14.02.2006 18:36 116 NeroDigital.ini 08.02.2006 21:06 23.508 KB896422.log 08.02.2006 21:05 24.659 KB893756.log 08.02.2006 21:05 21.777 KB873339.log 08.02.2006 21:05 23.375 KB887742.log 08.02.2006 21:05 22.185 KB887472.log 08.02.2006 21:04 26.386 KB905915.log 08.02.2006 21:04 25.714 KB902400.log 08.02.2006 21:04 18.752 KB900725.log 08.02.2006 21:03 15.721 KB894391.log 08.02.2006 21:03 13.731 KB908519.log 08.02.2006 21:03 16.330 KB890859.log 01.02.2006 18:47 14.854 KB899587.log 01.02.2006 18:47 14.249 KB899591.log 01.02.2006 18:46 8.564 KB910437.log 01.02.2006 18:46 13.938 KB912919.log dann noch das von C:/ Datentr„ger in Laufwerk C: ist Seth's Space Volumeseriennummer: 00D0-CCA1 Verzeichnis von C:\ 09.04.2006 00:42 0 sys.txt 09.04.2006 00:40 7.732 system.txt 09.04.2006 00:39 290 systemtemp.txt 09.04.2006 00:37 99.359 system32.txt 09.04.2006 00:32 536.399.872 hiberfil.sys 09.04.2006 00:32 805.306.368 pagefile.sys 07.04.2006 00:21 6 AVPCallback.log 01.12.2005 01:41 5.836 CLDMA.LOG 31.05.2005 12:43 211 BOOT.BKK 31.05.2005 12:43 211 boot.ini 09.05.2005 14:23 0 MSDOS.SYS 09.05.2005 14:23 0 CONFIG.SYS 09.05.2005 14:23 0 IO.SYS 09.05.2005 14:23 0 AUTOEXEC.BAT 04.08.2004 14:00 4.952 bootfont.bin 04.08.2004 14:00 47.564 NTDETECT.COM 04.08.2004 14:00 251.184 ntldr 17 Datei(en) 1.342.123.585 Bytes 0 Verzeichnis(se), 109.556.838.400 Bytes frei oh man ihr seit so klasse, danke 1000 mal! Weiß garnicht was ich zu soviel Hilfsbereitschaft sagen soll. Muß mich wohl über den PayPal button bedanken wenn ich wieder Geld hab...Danke jedenfalls! |
|
|
||
09.04.2006, 01:55
Ehrenmitglied
Beiträge: 29434 |
#4
SethSkeenz69
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html 1. Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ...... C:\WINDOWS\system32\cszgp.exe.ren C:\WINDOWS\rdt.ini PC neustarten 2. Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt 3. Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 11:51
...neu hier
Themenstarter Beiträge: 8 |
#5
Hi Sabina,
hier der Report von Fixwareout: Fixwareout ver 1.003 Last edited 2/15/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif ... Random Runs removed from HKLM REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool dann das Log vom Silentrunner: "Silent Runners.vbs", revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "AWMON" = ""C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"" ["Lavasoft Sweden"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"] "KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS] "CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found] "PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found] HKLM\Software\Microsoft\Active Setup\Installed Components\ >{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer" \StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided) -> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer" \InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.2\program\shlxthdl.dll" ["Sun Microsystems, Inc."] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte" -> {HKLM...CLSID} = "Universelle Plug & Play-Geräte" \InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = "Microsoft AntiMalware ShellExecuteHook" -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook" \InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Machai\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Startup items in "Machai" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Pinnacle Scheduler" -> shortcut to: "C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe" ["Pinnacle Systems"] "VIA RAID TOOL" -> shortcut to: "C:\Programme\VIA\RAID\raid_tool.exe" ["VIA Technologies"] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] "MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -ScanType config -Privileges restricted" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): (unwritable string) Missing lines (compared with English-language version): [Version]: 2 lines [RestoreHomePage]: 1 line [RestoreHomePage.reg]: 1 line [RestoreBrowserSettings.reg]: 12 lines [DeleteTemplates.reg]: 5 lines [DeleteAutosearch.reg]: 1 line [Strings]: 1 line [RestoreBrowserSettings]: 2 lines [Strings]: 3 lines HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"] HTTP-SSL, HTTPFilter, "C:\WINDOWS\System32\svchost.exe -k HTTPFilter" {"C:\WINDOWS\System32\w3ssl.dll" [MS]} LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"] Windows Defender Service, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 41 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 13 seconds. ---------- (total run time: 87 seconds) okay, mir kommt das ein wenig lang vor, wird wohl normal sein. Danke für die schnelle hilfe. Ich bin inzwischen so gern in diesem Board... :-) |
|
|
||
09.04.2006, 14:15
Ehrenmitglied
Beiträge: 29434 |
#6
SethSkeenz69
mache bitte einen Onlinescan mit kaspersky und Bitdefender - ScanOnline neu und poste die Scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 19:51
...neu hier
Themenstarter Beiträge: 8 |
#7
Hi Sabina,
Also Kaspersky hat mir keine Logs erstellt, hab mit allen funktionen gescannt. Sagte ich hätte keine Malware an Bord. Der Bitdefender konnte sich nicht zu server verbinden um ein Update zu machen. Also scannte ich ohne update. Sagte auch keine verdächtigen Dateien! Bin ich wieder sauber? |
|
|
||
09.04.2006, 22:50
Ehrenmitglied
Beiträge: 29434 |
#8
es muesste wieder alles in Ordnung sein, wenn der Kaspersky nichts gefunden hat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.04.2006, 23:42
...neu hier
Themenstarter Beiträge: 8 |
#9
Hi Sabina,
ab heute bist du meine Antivirengöttin Bin so froh, das nichts schlimmeres mich heimgesucht hat... Danke für deine Hilfe! War schon ein komisches Gefühl(mein erster Virenbefall). Sag mal reicht denn der Avira AntivirGuard und Lavasofts AdAware Pro aus um mich zukünftig zu schützen? |
|
|
||
10.04.2006, 00:13
Ehrenmitglied
Beiträge: 29434 |
#10
SethSkeenz69
Eingeschränktes Benutzerkonto http://virus-protect.org/administrator.html Windows Defender http://virus-protect.org/ms.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2006, 09:44
...neu hier
Themenstarter Beiträge: 8 |
#11
Ein letztes Mal Hallo Sabina,
Also ich versuchte das mit dem eingeschränkten Benutzerkonto. Hat auch super funktioniert! Das Problem das ich jetzt habe ist folgendes: Ich hab mein Administratorkonto in ein eingeschränktes Umgewandelt, kann aber dann nicht mehr darauf zugreiffen weil das Sicherheitsprotokoll für diesen Benutzer voll ist, dieses Problem kann nur ein Admin beheben!? Kannst du mir sagen was ich falsch mache? Mfg Simon[/img] |
|
|
||
11.04.2006, 11:32
Ehrenmitglied
Beiträge: 29434 |
#12
bevor man sein urspruengliches AdminKonto in ein eingeschranktes umwandelt, ist ein anderes Adminkonto zu erstellen, sonst hat man keine Rechte mehr.....
Zitat Die Lösung ist die Umwandlung des bisher genutzten Administratorkontos in ein eingeschränktes Benutzerkonto, auch "Account" genannt - und zusätzlich die Einrichtung eines neuen Admin-Kontos, das für Spezialfälle vorbehalten bleibt.Versuche folgendes: gehe in den abgesicherten Modus und versuche das jetzige eingeschrankte Konto wieder in ein Adminkonto umzuwandeln. Dann berichte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2006, 14:18
...neu hier
Themenstarter Beiträge: 8 |
#13
Sabina,
Das Adminkonto welches ich vorrübergehend in ein eingeschränktes Konto umgewandelt hatte, konnte ich im normalen Modus wieder in ein Adminkonto umwandeln, aber danke trotzdem. Ich hatte bevor ich dieses Konto umgewandelt hatte ein anderes Adminkonto eingerichtet. Aber da sah alles komplett anders aus(Desktop etc.) mit dem eingeschränkten hatte ich die im vorigen Post beschriebenen Probleme. Ich versuchs aber trotzdem gleich nochmal. |
|
|
||
11.04.2006, 15:50
Ehrenmitglied
Beiträge: 29434 |
#14
Legen Sie eine angemessene Größe für das Sicherheitsprotokoll fest.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true Mithilfe der Ereignisanzeige können Sie die in den Ereignisprotokollen aufgezeichneten Ereignisse überwachen. In der Regel speichert ein Computer das Anwendungsprotokoll, das Sicherheitsprotokoll und das Systemprotokoll. Je nach der Rolle des Computers und den installierten Anwendungen können auch andere Protokolle gespeichert werd http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx?mfr=true > Start -> Ausführen -> eventvwr.msc ich weiss leider nicht, wo/wie man diese Groesse festlegen kann. und auch nicht, wie/wo man es loeschen/leeren kann. Da musst du mal "googeln" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
danke schon mal im Vorraus für deine zugesagte Hilfe. Ich wollte nicht einfach einen neuen Thread machen, weil schon einer gepostet ist. Also hier schon mal die Logs von Hijackthis und Blacklight.
Logfile of HijackThis v1.99.1
Scan saved at 21:55:40, on 08.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Machai\Eigene Dateien\DLS\utorrent_1.5.exe
C:\Programme\Opera\Opera.exe
C:\Programme\HiJackThis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - Unknown owner - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Blacklight zeigt mir keinerlei unerwünschte Prozesse.
Ich wäre dir sehr dankbar wenn du mir sagen würdest(für mich "Virenlaien" verständlich) was dieser Virus bei mir überhaupt anstellen kann. Und evtl. wie ich mich davor schütze. Ich nutze zur Zeit Lavasoft Ad-Aware Pro und den AntiVir reicht das?
Okay das wars dann wohl erstmal, thnx