Tr\Swizzor.A. so eine verdammte sche...

#121 paulsen

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

CleanUp
http://virus-protect.org/cleanup.html

Zitat

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kqsrylvbatcdyvbvdxojmhed.com/7zge1JQno6IrIFWnbvIyVFKkQSCUKplSrXm99ycAf7lFIC_2dJJX/WJOJcf6UPkf.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gfzadnmpxvuuqjrkesuhw.us/7zge1JQno6JZR1B5XUuazJ8ys4dl4/iLQ8rWsILv4R4.asp

O2 - BHO: (no name) - {18B8EC24-F27E-AF08-629E-A4E4A0999F4A} - C:\DOCUME~1\Seel\APPLIC~1\MEETFI~1\Love Bat.exe
O2 - BHO: (no name) - {3E7D40E5-EE78-8406-6676-1E8816550906} - C:\DOCUME~1\Seel\APPLIC~1\MEETFI~1\Love Bat.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Documents and Settings\Seel\Bureau\Paul\msg plus\MsgPlus.exe"
O4 - HKLM\..\Run: [browse online iso software] C:\Documents and Settings\All Users\Application Data\fast error browse online\vgasetup.exe
O4 - HKLM\..\Run: [ReJf5vH] C:\WINNT\nenving.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Amen Program Mode Mfcd] C:\Documents and Settings\All Users\Application Data\Cdrom way amen program\Dumb Ford.exe
O4 - HKCU\..\Run: [seek mp3] C:\DOCUME~1\Seel\APPLIC~1\NURBAN~1\City admin.exe
O4 - HKCU\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\uwfx5.exe /scan
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll

PC neustarten

deinstalliere...alles im abgesicherten Modus...
WinFixer 2005
SurfAccuracy
Messenger PLus 3 /Sponsor


arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

loesche

C:\Program Files\SurfAccuracy
C:\Program Files\WinFixer 2005
C:\WINNT\nenving.exe
C:\Documents and Settings\Seel\Bureau\Paul\msg plus
C:\Documents and Settings\Seel\Application Data\MEETFI..... ..ist nicht die vollstaendige Bezeichnung
C:\Documents and Settings\Seel\Application Data\NURBAN....
C:\Documents and Settings\All Users\Application Data\fast error browse online\

**
scanne zuerst mit Counterspy, damit der Winfixer geloescht wird aus der Registry
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu

-------------

dann wende Dr.Web an, Panda Online (alles manuell loeschen, was noch gefunden wird), wende noch einmal CleanUp an , stelle eine neue Startseite ein)

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#122 Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est DC05-C228

R‚pertoire de C:\WINNT\tasks

18/04/2006 15:36 <DIR> .
18/04/2006 15:36 <DIR> ..
08/05/2001 01:00 65 desktop.ini
25/04/2006 19:33 6 SA.DAT
25/04/2006 19:34 410 Symantec NetDetect.job
3 fichier(s) 481 octets

R‚pertoire de C:\Documents and Settings\Seel\Bureau



danke schonmal !

#123 paulsen

der Task ist in Ordnung
wenn Panda und dr.web nichts mehr finden und keine PopUps mehr kommen, ist alles in Ordnung.

Ueberpruefe selbst noch mal mit HijackThis die Startseite.....
Das muss natuerlich verschwunden sein ...........

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kqsrylvbatcdyvbvdxojmhed.com/7zge1JQno6IrIFWnbvIyVFKkQSCUKplSrXm99ycAf7lFIC_2dJJX/WJOJcf6UPkf.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gfzadnmpxvuuqjrkesuhw.us/7zge1JQno6JZR1B5XUuazJ8ys4dl4/iLQ8rWsILv4R4.asp

__________
MfG Sabina

rund um die PC-Sicherheit

#124 hallo hab alles durchgeführt, ist jetzt alles ok?

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0EF-90B4

Verzeichnis von C:\WINDOWS\tasks

01.05.2006 09:04 <DIR> .
01.05.2006 09:04 <DIR> ..
06.05.2006 13:00 286 8FF8051895C7D9B0.job
29.08.2002 14:00 65 desktop.ini
06.05.2006 21:34 6 SA.DAT
3 Datei(en) 357 Bytes

#125 vd12

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h 8FF8051895C7D9B0.job
del 8FF8051895C7D9B0.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

wenn Panda und dr.web nichts mehtr anzeigen.. und die Startseite im HijackThis o.k. ist....
muesste wieder alles sauber sein
__________
MfG Sabina

rund um die PC-Sicherheit

#126 und wie merke ich ob die startseite im hijackthis ok ist?

vielen dank

#127 vd12

poste das neue Log vom HijackThis, da kann man es sehen
__________
MfG Sabina

rund um die PC-Sicherheit

#128 Logfile of HijackThis v1.99.1
Scan saved at 00:19:49, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Vaso Damianidou\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: (no name) - {FE0E22E1-3905-E427-EEC9-65A0CBF7C185} - C:\DOKUME~1\VASODA~1\ANWEND~1\BEEPHO~1\Remote Style.exe (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DashBlahPlatformDupe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\funk aim dash blah\nounwave.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [hideante] C:\DOKUME~1\VASODA~1\ANWEND~1\CORNAX~1\Junk coal stupid.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/KSK_Esslingen-Nuertingen/srwso2001.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FBFB460-3BA3-4C29-9B58-34BC30467B6A}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

#129 vd12

fixe mit dem HijackThis:

O2 - BHO: (no name) - {FE0E22E1-3905-E427-EEC9-65A0CBF7C185} - C:\DOKUME~1\VASODA~1\ANWEND~1\BEEPHO~1\Remote Style.exe (file missing)
O4 - HKLM\..\Run: [DashBlahPlatformDupe] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\funk aim dash blah\nounwave.exe
O4 - HKCU\..\Run: [hideante] C:\DOKUME~1\VASODA~1\ANWEND~1\CORNAX~1\Junk coal stupid.exe

PC neustarten

**
scanne mit Panda und poste den scanbericht
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#130 hallo sabina,

ich habe mitbekommen, dass du hier der crack bist und hoffe du kannst mir helfen.

ich habe auch das problem mit diesem rollstullfahrer unten rechts in der leiste und mit diesem blöden popup über malware "your computer is infected". ich habe mit mit ewido im abgesicherten modus gescannt - und das programm hat viel gefunden - aber diese sache ist nict weggegangen. jetzt habe ich zu allem übel gerade bemerkt, dass meine ganze netzwerkumgebung danach zerschossen wurde!!

fragen:

kann ich die netzwerkumgebung wieder irgendwie herstellen?

ist dieser sch** mit dem rollstuhlfahrer richtig gefährlich??
- ich muss heute noch dringend word-/pdf-dokumente erstellen und per outlook versenden?

was ist der aktuelle weg, um diese malware loszuwerden?

tausend dank für die antwort

grüsse jens

#131 panta rhei

arbeite das ab und poste die Logs, dann reinigen wir das
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#132 o.k. vielen dank,

hier erst ma das hjt log:

Logfile of HijackThis v1.99.1
Scan saved at 11:37:40, on 08.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\corega\WLUSB2GT Configuration Utility\WUGTCFG.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp9AD9.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] MSlti32.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Autoupdate Service] C:\DOKUME~1\rider\LOKALE~1\Temp\a.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WLUSB2GT Configuration Utility.lnk = C:\Programme\corega\WLUSB2GT Configuration Utility\WUGTCFG.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{9795F491-D434-473E-BBE1-FA76BA7D022E}: NameServer = 192.168.1.1
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


jetzt ein problem:

wenn ich auf die von dir genannte seite gehe http://virus-protect.org/cleanup.html , dann öffnet sich da nichts - nur blau..und dann kommt internet explorer fehlermeldung."..IE muss beendet werden"

und nun?

#133 panta rhei

ein Rechner ohne alle WindowsUpdates.............

-----------------------------------------------------------------------

1.
CleanUp!
http://www.stevengould.org/downloads/cleanup/CleanUp451.exe
Oeffne Cleanup! doppelklick auf das Icon auf dem Desktop (oder von: Start All Programme)

2.
PC neustarten

3.
datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip

Suche auf dem Desktop (oder in der Datei, die nach dem Entzippen entanden ist) die datFind.bat

- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ab ( Verzeichnis von C:\WINDOWS\system32) ca.3 Monate und in deinen Thread im Sicherheitsforum. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

1.Log --> Verzeichnis von C:\WINDOWS\system32

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

2.Log --> Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

3.Log --> Verzeichnis von C:\WINDOWS

* das DOS-Fenster ist geöffnet, klicke "enter"

nun wird sich wieder der Editor öffnen, kopiere ca. 3 Monate ab (ist nach Datum geordnet) und kopiere es in deinen Thread. (rechter Mausklick --> Text markieren --> kopieren --> einfügen)

4.Log--> Verzeichnis von C:\
__________
MfG Sabina

rund um die PC-Sicherheit

#134 Hi!
Ich habe auch ein Problem mit dem Tr/Swizzor.Er wurde bei mir vor 2 Wochen entdeckt kurz bevor ich in den Urlaub bin.Nun wurde mein Pc in der Zeit von meinem Bruder benutzt.Ich bin gestern wieder gekommen und er hat mir erklärt das er sich um den Tr\Swizzor gekümmert hätte indem er den Netpumper gelöscht hat. Nur ist es jetzt milerweile so das wenn ich zum Beispiel online zocke (FFXI) sich der PC aufhhängt und Antivir gar nicht mehr im hintergrund das system überwacht, der Antivir guard ist nur noch inaktiv.
Daher vermmute ich mal das mitlerweile noch einiges mehr an viren, usw. auf dem PC ist.
Vielen dank schonmal im vorraus für hilfe in jegweder Form!

Also hier mal die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 12:31:55, on 08.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
D:\Progs\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.macromedia.com/de/shockwave/download/triggerpages_mmcom/default.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {B8C1815D-B08F-7DBA-9498-2B79105C1DE9} - C:\DOKUME~1\JRG~1\ANWEND~1\SHOWFA~1\DeleteLoud.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [First dale third web] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Coal32firstdale\safe gpl.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PurePing] C:\DOKUME~1\JRG~1\ANWEND~1\BROWSE~1\info noun about.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

#135 Noir

CleanUp
http://virus-protect.org/cleanup.html

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.macromedia.com/de/shockwave/download/triggerpages_mmcom/default.html
O2 - BHO: (no name) - {B8C1815D-B08F-7DBA-9498-2B79105C1DE9} - C:\DOKUME~1\JRG~1\ANWEND~1\SHOWFA~1\DeleteLoud.exe
O4 - HKLM\..\Run: [First dale third web] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Coal32firstdale\safe gpl.exe
O4 - HKCU\..\Run: [PurePing] C:\DOKUME~1\JRG~1\ANWEND~1\BROWSE~1\info noun about.exe

PC neustarten

arbeite das ab:
http://virus-protect.org/artikel/spyware/lop1.html

im abgesicherten Modus loeschen:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Coal32firstdale\
C:\Dokumente und Einstellungen\JRG~1\Anwendungsdaten\SHOWFA.... (ist nicht die vollstaenige Bezeichnung)
C:\Dokumente und Einstellungen\JRG~1\Anwendungsdaten\BROWSE.........

Counterspy (loescht den Netpumper aus der Registry...) ..du musst nach dem Scan alles auf *remove stellen
**
scanne mit dr.web
**
Onlinescan-Panda (alles manuell loeschen)
**
noch mal cleanup anwenden

-------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt

- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit