Brauche Unterstützung wg. Trojaner Swizzor_A |
||
---|---|---|
#0
| ||
16.04.2006, 19:31
Ehrenmitglied
Beiträge: 29434 |
||
|
||
17.04.2006, 14:06
Member
Beiträge: 15 |
#17
hallo sabina,
hier der scan-report von panda....... Incident Status Location Adware:adware/gator Not disinfected C:\GatorPatch.log Spyware:spyware/searchcentrix Not disinfected Windows Registry Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@adtech[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as1.falkag[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@sel.as-eu.falkag[2].txt Dialerialer.LN Not disinfected C:\avp.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\activeowns.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\boobactive.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\CloseMess.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\Licenseextra.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View\seek 1.exe Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Mozilla\Firefox\Profiles\skbwxfdl.default\cookies.txt[] Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\Army math drive blue.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\flbkxdqi.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\hvxeqafb.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\lbjlqtot.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\license book slow.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\llwflmtp.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\pocdcpwt.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\qfgjtchj.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor\sirnedki.exe Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\cookies.txt[] Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@adtech[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@as1.falkag[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Cookies\wolfgang@sel.as-eu.falkag[2].txt Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\347cb6.exe Adware:Adware/Lop Not disinfected C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01EROTIF\upAYB_unk[1].int Adware:Adware/SaveNow Not disinfected C:\Programme\DAEMON Tools\SetupDTSB.exe Adware:Adware/Lop Not disinfected C:\Programme\HiJackThis\backups\backup-20060414-211738-991.dll Adware:Adware/CWS.Aboutblank Not disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDMNCDIN\m[1].bin unabhängig davon gibt es im verzeichnis c:\windows\system32 eine d3dlg.dll.vir, antivir moniert sie ständig .......enthält eine signatur des backdoorprogramms bds/agent.ac wo und wie kann ich den swizzor löschen? gruß surf |
|
|
||
17.04.2006, 15:59
Ehrenmitglied
Beiträge: 29434 |
#18
surf
arbeite das alles ab:..alle Punkte ! http://virus-protect.org/artikel/spyware/lop1.html zu loeschen ist: C:\WINDOWS\System32\d3dlg.dll C:\WINDOWS\System32\d3dlg.dll.vir C:\avp.exe C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\347cb6.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Inside Error Bits View C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\amentypefor C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDMNCDIN C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01EROTIF wende unbedingt den CleanUp an , Counterspy, DrWeb und noch mal den Panda zum Ueberpruefen Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2006, 16:45
...neu hier
Beiträge: 2 |
#19
Danke für die Hilfe!! Habe alles so gemacht wie beschrieben:
Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 64B7-02EB Verzeichnis von C:\WINDOWS\system32 15.04.2006 23:46 0 asfiles.txt 15.04.2006 23:44 2.550 Uninstall.ico 15.04.2006 23:44 1.406 Help.ico 15.04.2006 23:44 30.590 pavas.ico 15.04.2006 23:32 2.206 wpa.dbl 26.03.2006 11:28 305.454 perfh009.dat 26.03.2006 11:28 37.896 perfc009.dat 26.03.2006 11:28 45.876 perfc007.dat 26.03.2006 11:28 310.140 perfh007.dat 26.03.2006 11:28 705.468 PerfStringBackup.INI 13.03.2006 03:35 188.200 FNTCACHE.DAT 10.03.2006 20:08 2.388 lvcoinst.log 26.02.2006 16:03 100 LuResult.txt 14.02.2006 10:20 550.120 LegitCheckControl.dll 09.02.2006 19:23 98.304 CmdLineExt.dll 07.02.2006 22:28 4.513.120 MRT.exe 18.01.2006 14:05 57.344 avsda.dll Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 64B7-02EB Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 17.04.2006 22:36 240 datFind-1.zip 17.04.2006 22:35 240 datFind.zip 17.04.2006 22:29 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11042.html 17.04.2006 22:28 16.384 ~DFE6AB.tmp 17.04.2006 22:28 36.549 LVCOMSX.LOG 17.04.2006 22:28 512 ~DFF765.tmp 17.04.2006 22:28 16.384 ~DFF74E.tmp 17.04.2006 22:27 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}17880.html ... ... .. Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 64B7-02EB Verzeichnis von C:\WINDOWS 17.04.2006 22:35 1.560.091 WindowsUpdate.log 17.04.2006 22:28 0 0.log 17.04.2006 22:28 159 wiadebug.log 17.04.2006 22:28 50 wiaservc.log 17.04.2006 22:28 54.156 QTFont.qfn 17.04.2006 22:28 2.048 bootstat.dat 17.04.2006 22:27 32.642 SchedLgU.Txt 17.04.2006 22:26 1.409 QTFont.for 16.04.2006 17:34 180.485 setupact.log 16.04.2006 16:35 107.132 UninstallThunderbird.exe 16.04.2006 16:35 10.323 mozver.dat 16.04.2006 16:35 632 win.ini 16.04.2006 16:10 227 system.ini 15.04.2006 23:44 801.928 setupapi.log 23.03.2006 20:38 601 MPIO.ini 13.03.2006 03:35 922 spupdsvc.log 13.03.2006 03:33 15.792 ocmsn.log 13.03.2006 03:33 133.988 tsoc.log 13.03.2006 03:33 364.691 iis6.log 13.03.2006 03:33 12.922 KB913446.log 13.03.2006 03:33 62.553 ntdtcsetup.log 13.03.2006 03:33 104.307 comsetup.log 13.03.2006 03:33 14.314 tabletoc.log 13.03.2006 03:33 1.374 imsins.log 13.03.2006 03:33 20.119 MedCtrOC.log 13.03.2006 03:33 148.864 ocgen.log 13.03.2006 03:33 14.417 msgsocm.log 13.03.2006 03:33 49.354 netfxocm.log 13.03.2006 03:33 276.042 FaxSetup.log 13.03.2006 03:33 96.940 msmqinst.log 13.03.2006 03:32 1.374 imsins.BAK 13.03.2006 03:32 14.527 KB911564.log 13.03.2006 03:32 13.032 wmsetup.log 13.03.2006 03:32 17.161 KB911927.log 13.03.2006 03:32 18.243 updspapi.log 13.03.2006 03:32 14.264 KB911565.log 13.03.2006 03:32 17.225 KB912919.log 13.03.2006 03:32 16.536 KB908519.log 13.03.2006 03:31 19.729 KB905915.log 13.03.2006 03:31 8.133 KB910437.log 13.03.2006 03:31 12.224 KB896424.log 13.03.2006 03:27 7.752 WGA.log 13.03.2006 03:08 116 NeroDigital.ini 10.03.2006 20:00 101 msxmlcab.log 10.03.2006 20:00 316.640 WMSysPr9.prx 10.03.2006 19:59 81.920 bwUnin-6.1.4.68-8876480L.exe 26.02.2006 16:07 14.297 LUINSTALL.LOG 29.01.2006 22:31 183.296 NDNuninstall7_22.exe 18.01.2006 21:24 183.296 NDNuninstall7_14.exe Datentr„ger in Laufwerk C: ist SYSTEM Volumeseriennummer: 64B7-02EB Verzeichnis von c:\ 17.04.2006 22:42 0 dirdat.txt 17.04.2006 22:40 8.104 system.txt 17.04.2006 22:40 14.333 systemtemp.txt 17.04.2006 22:40 104.125 system32.txt 17.04.2006 22:28 805.306.368 pagefile.sys 16.04.2006 16:10 211 boot.ini 10.03.2006 19:59 183 LogiSetup.log 09.03.2006 13:23 5.335 CtDrvStp.log 09.03.2006 13:21 227 CtDrvIns.log Dieser Beitrag wurde am 17.04.2006 um 22:45 Uhr von LadyPeanut editiert.
|
|
|
||
17.04.2006, 23:55
Member
Beiträge: 15 |
#20
sabina
so, alles abgearbeitet. seit ein paar stunden ist antivir verdächtig ruhig. war es das etwa? :-)) hier der inhalt der findjobs.bat: Verzeichnis von C:\WINDOWS\tasks 23.03.2006 22:10 <DIR> . 23.03.2006 22:10 <DIR> .. 17.04.2006 23:00 282 AE5747D891E0F94C.job 18.08.2001 14:00 65 desktop.ini 17.04.2006 17:24 6 SA.DAT 17.04.2006 22:25 402 Symantec NetDetect.job 4 Datei(en) 755 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Wolfgang\Desktop gruß surf |
|
|
||
17.04.2006, 23:58
Ehrenmitglied
Beiträge: 29434 |
#21
surf
ºº Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal ºº ueberpruefe mit Panda-Online... ob alles sauber ist Loesche manuell, was noch angezeigt wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2006, 00:07
Ehrenmitglied
Beiträge: 29434 |
#22
LadyPeanut
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml R3 - Default URLSearchHook is missing O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll --> das musst du mit LSPfix loeschen !!! O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing) O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing) O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM\..\Run: [Close Flaw Mail Up] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe O4 - HKCU\..\Run: [Plus save] C:\DOKUME~1\ADMINI~1\ANWEND~1\IDOLSL~1\Inter User.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 PC neustarten Deinstalliere: MessengerPlus! 3 + Sponsorprogeamm C:\Programme\NewDotNet C:\Programme\Accoona loeschen: C:\WINDOWSNDNuninstall7_22.exe C:\WINDOWSNDNuninstall7_14.exe ------------------------------------------------------------------------ arbeite das alles ab: http://virus-protect.org/artikel/spyware/lop1.html Cleanup Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp muss leer sein !!! (siehe Log von Datfindbat) Counterspy (nach dem Scan alles auf remove stellen)...auch die P2P-Programme...., Dr.Web-> alles loeschen oder umbenennen lassen... und Onlinescan Panda (alles manuell loeschen) -------------------- wenn alles abgearbeitet und sauber ist: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2006, 00:11
...neu hier
Beiträge: 4 |
#23
Hab das gleiche Problem, hier ist mein logfile. Vielen Dank!
Logfile of HijackThis v1.99.1 Scan saved at 20:37:40, on 17.04.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Administrator\Desktop\utorrent.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {46743B26-AA59-7FE6-5889-088B415FED0E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MEETVG~1\peak wma.exe O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINNT\webdir.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [for five error 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bleh bike for five\Clockokay.exe O4 - HKCU\..\Run: [loadname] C:\DOKUME~1\ADMINI~1\ANWEND~1\ROADAB~1\funk bias.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C864DBE1-FCDD-43E2-9E7D-7C7DD06674E1}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F9AB539A-E15F-4A17-A473-0A66E1FA4A6A}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
|
|
||
18.04.2006, 00:15
Ehrenmitglied
Beiträge: 29434 |
#24
Julia1912
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {46743B26-AA59-7FE6-5889-088B415FED0E} - C:\DOKUME~1\ADMINI~1\ANWEND~1\MEETVG~1\peak wma.exe O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O2 - BHO: CWebDirObj Object - {C003C49F-53E4-4A72-B7D6-0B2B9997392F} - C:\WINNT\webdir.dll O4 - HKLM\..\Run: [for five error 16] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bleh bike for five\Clockokay.exe O4 - HKCU\..\Run: [loadname] C:\DOKUME~1\ADMINI~1\ANWEND~1\ROADAB~1\funk bias.exe PC neustarten loesche: C:\WINNT\webdir.dll C:\WINNT\ounost.exe --> falls du die exe findest deinstalliere: C:\Programme\INSTAFINK arbeite das alles ab: http://virus-protect.org/artikel/spyware/lop1.html Cleanup ,Counterspy (nach dem Scan alles auf remove stellen)...auch die P2P-Programme...., Dr.Web-> alles loeschen oder umbenennen lassen... und Onlinescan Panda (alles manuell loeschen) -------------------- wenn alles abgearbeitet und sauber ist: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ------ Zitat C:\WINDOWS\webdir.dll Adware:Adware/Ucmore __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2006, 14:08
...neu hier
Beiträge: 4 |
#25
Habe alles soweit durchgeführt:
Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: A08E-9383 Verzeichnis von C:\WINNT\tasks 23.03.2006 10:36 <DIR> . 23.03.2006 10:36 <DIR> .. 14.04.2006 17:24 412 1-Klick-Wartung.job 18.04.2006 14:00 284 A594EE9E918B6A32.job 20.06.2003 14:00 65 desktop.ini 18.04.2006 12:10 6 SA.DAT 4 Datei(en) 767 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop |
|
|
||
18.04.2006, 14:53
Ehrenmitglied
Beiträge: 29434 |
#26
Julia1912
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2006, 14:57
...neu hier
Beiträge: 4 |
#27
Ok, vielen Dank für deine schnelle Hilfe ;-)
|
|
|
||
19.04.2006, 21:59
Member
Beiträge: 15 |
#28
sabina,
du bist genial. :-)) seit 2 tagen ist antivir total ruhig ......... die 2 mistviehcher sind scheinbar gekillt. vielen, vielen dank für deine hilfe. gruß surf |
|
|
||
es scheint ein Trojaner zu sein, der ueber eine Mail auf den PC gekommen ist.
(ich vermute ein Goldrun...obwohl im Roorkitrevealer nichts zu sehen ist)
Loesche also den Swizzor und poste den scanreport vom Panda, vielleicht findet der noch was...
__________
MfG Sabina
rund um die PC-Sicherheit