Brauche Unterstützung wg. Trojaner Swizzor_A |
||
---|---|---|
#0
| ||
15.04.2006, 00:47
...neu hier
Beiträge: 3 |
||
|
||
15.04.2006, 12:14
Ehrenmitglied
Beiträge: 29434 |
#2
Alf_08
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {62089E98-6B3C-05CE-ECD1-330C01AB8164} - C:\DOKUME~1\Alfons\ANWEND~1\Bike01\TRANS DEFY.exe O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [FourStartDashTrust] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart\comp grid.exe O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Alfons\ANWEND~1\OPTION~1\Stop Aim.exe O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm PC neustarten ** deinstalliere den Netpumper (ist Schuld an der Verseuchung) ** arbeite das alles ab: http://virus-protect.org/artikel/spyware/lop1.html zu loeschen, in deinem Fall ist: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart C:\Dokumente und Einstellungen\Alfons\Anwendungsdaten\OPTION....-> (ist nicht der komplette Name) C:\Dokumente und Einstellungen\Alfons\Anwendungsdaten\Bike01 wende Cleanup an, den Counterspy-> nach dem Scann *Remove und Panda-Online-> alles manuell loeschen wenn alles abgearbeitet ist: Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat dir %Windir%\tasks /a h > files.txt- Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text i __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 15:08
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo,
ich hoffe, ich habe alles richtig gemacht. Nachdem ich dann auch noch den Papierkorb gelehrt hatte, konnte Panda nichts mehr finden. ----- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS\tasks 23.03.2006 10:09 <DIR> . 23.03.2006 10:09 <DIR> .. 15.04.2006 15:00 268 AF3C183B919F8E4B.job 04.08.2004 14:00 65 desktop.ini 15.04.2006 12:57 6 SA.DAT 3 Datei(en) 339 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Alfons\Desktop ----- Bin ich clean? Gruß Alfons |
|
|
||
15.04.2006, 15:16
Ehrenmitglied
Beiträge: 29434 |
#4
Alf_08
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: Zitat %systemdrive%- Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 16:16
Member
Beiträge: 15 |
#5
hallo leute, auch bei mir hat sich dieses miststück eingenistet. ich weiß noch nicht einmal, wo ich suchen muß. kann mir jemand helfen? vielen dank im voraus.......
Logfile of HijackThis v1.99.1 Scan saved at 16:16:03, on 15.04.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\E_S00RP2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: AOLTBSearch Class - {EA756889-2338-43DB-8F07-D1CA6FB9C90D} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 2.0\resources\de-DE\local\search.html O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,911,0 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2429579c69f69d8cb918/netzip/RdxIE601.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141508559625 O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36F51F7C-6923-4156-927C-87B9B4B582F8}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{8F8FA67A-B295-458C-91B7-FC2563BEC479}: NameServer = 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{36F51F7C-6923-4156-927C-87B9B4B582F8}: NameServer = 205.188.146.145 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll O18 - Filter: text/plain - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dlg.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - C:\Programme\Gemeinsame Dateien\AOL\AOL Privacy Protection\\aolserv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP2.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
|
||
15.04.2006, 16:27
Ehrenmitglied
Beiträge: 29434 |
#6
surf
1. abarbeiten Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Hier ist anscheinend ein Haxdoor auf dem PC..... vom Swizzor keine Spur.... 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll O18 - Filter: text/plain - {8BECEEB3-14EB-4103-84D5-86ECBE79D12A} - C:\WINDOWS\System32\moagmlb.dll O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dlg.dll PC neustarten 3. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 4. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 5. Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip 6. RootkitRevealer -> poste das Log http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2006, 20:11
Member
Beiträge: 15 |
#7
hallo sabina
ich weiß nicht, ob ich alles richtig gemacht habe.....hier ist zumindest das log vom rootkitrevealer ...... und antivir meldet nach wie vor den swizzor-a. HKLM\SOFTWARE\Classes\webcal\URL Protocol 01.05.2004 17:03 13 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg 04.04.2006 21:59 0 bytes Access is denied. C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\Cache\13266B83d01 15.04.2006 19:48 56.67 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Wolfgang\Anwendungsdaten\Mozilla\Firefox\Profiles\vkkjc3l4.Standard-Benutzer\Cache\F2B9E485d01 15.04.2006 19:52 43.86 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$DI00.812 15.04.2006 19:30 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$DI00.812\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$EX01.703\Eula.txt 11.02.2006 09:22 1.92 KB Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Wolfgang\Lokale Einstellungen\Temp\Rar$EX01.703\RootkitRevealer.chm 07.12.2005 14:19 99.77 KB Visible in Windows API, but not in MFT or directory index. gruß surf |
|
|
||
15.04.2006, 20:38
...neu hier
Themenstarter Beiträge: 3 |
#8
Hallo Sabina!
Ich habe jetzt abschliessend nochmal Counterspy und Panda-Online suchen lassen. Der Trojaner ist weg. Vielen Dank für deine Mühe, auch noch am Wochenende. Viele Grüße Alfons |
|
|
||
15.04.2006, 22:19
...neu hier
Beiträge: 2 |
#9
Hello, brauche Hilfe wegen Swizzor.A!!!!
Scan saved at 22:13:29, on 15.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\MXOALDR.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.062\HijackThis.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - Default URLSearchHook is missing O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {25B2BDAF-26F1-1421-BA69-513123FF4629} - C:\DOKUME~1\ADMINI~1\ANWEND~1\ITCHSE~1\type more.exe O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Close Flaw Mail Up] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\debugtickcloseflaw\BROWSEBIN.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Plus save] C:\DOKUME~1\ADMINI~1\ANWEND~1\IDOLSL~1\Inter User.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\PROGRAM FILES\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127939698359 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = tuwien.ac.at,at,com O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe |
|
|
||
16.04.2006, 16:55
Ehrenmitglied
Beiträge: 29434 |
#10
surf
warum arbeitest du nur die Haelfte ab ? Zum Swizzor kommen wir spaeter...ist im Moment nicht so wichtig.... Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 16:57
Ehrenmitglied
Beiträge: 29434 |
#11
LadyPeanut
1. LSPfix http://www.spychecker.com/program/lspfix.html - hake an: "I know what Im doing"--Remove - und loesche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen) 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 18:43
Member
Beiträge: 15 |
#12
hallo sabina,
sorry, war wohl ein missverständnis mit dem kopieren. hier nun die einträge......gruß surf Verzeichnis von C:\WINDOWS\system32 16.04.2006 08:33 130.720 Status.MPF 15.04.2006 22:46 1.406 Help.ico 15.04.2006 22:46 30.590 pavas.ico 15.04.2006 22:45 2.550 Uninstall.ico 15.04.2006 19:22 768 system32.txt 14.04.2006 22:44 3.870 ikhcore.log 10.04.2006 16:16 2.184 wpa.dbl 05.04.2006 00:02 449.676 perfh009.dat 05.04.2006 00:02 65.924 perfc009.dat 05.04.2006 00:02 466.414 perfh007.dat 05.04.2006 00:02 79.520 perfc007.dat 05.04.2006 00:02 1.072.946 PerfStringBackup.INI 04.04.2006 22:30 121.336 FNTCACHE.DAT 04.04.2006 22:18 3.799 jupdate-1.5.0_04-b05.log 25.01.2006 05:34 118.784 sirenacm.dll 18.01.2006 14:05 57.344 avsda.dll 04.01.2006 20:46 2.836.320 MRT.exe Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9042-0B72 Verzeichnis von C:\DOKUME~1\Wolfgang\LOKALE~1\Temp 16.04.2006 18:41 240 datFind.zip 16.04.2006 18:00 62.574 2128e81.exe 16.04.2006 17:00 62.574 1cbbfb6.exe 16.04.2006 16:14 307 dakota.ag_20060416_inst.log 16.04.2006 16:00 62.574 180d24d.exe 16.04.2006 15:00 62.574 179c827.exe 16.04.2006 14:26 416 java_install_reg.log 16.04.2006 14:09 0 Acr422.tmp 16.04.2006 14:09 2.048.000 Acr420.tmp 16.04.2006 14:09 3.363 Acr41E.tmp 16.04.2006 14:09 3.631 Acr41F.tmp 16.04.2006 14:07 19.968 6mai2006.doc 16.04.2006 14:00 62.574 136f022.exe 16.04.2006 13:00 62.574 efe402.exe 16.04.2006 12:00 62.574 a4151d.exe 16.04.2006 11:00 62.574 9d0aa9.exe 16.04.2006 10:00 62.574 4a3af1.exe 16.04.2006 09:00 62.574 32b35.exe 16.04.2006 08:43 4 PMShared 16.04.2006 08:33 32.768 ~DF27D.tmp 16.04.2006 08:33 16.384 ~DF7D7.tmp 16.04.2006 08:33 49.152 ~DFE3F5.tmp 16.04.2006 08:33 410 jusched.log 15.04.2006 23:06 614 dakota.ag_20060415_inst.log 15.04.2006 23:00 62.574 11066e5.exe 15.04.2006 22:50 1.212.416 ~DFC1E6.tmp 15.04.2006 22:50 1.212.416 ~DF8EA7.tmp 15.04.2006 22:00 62.574 cea165.exe 15.04.2006 21:28 1.212.416 ~DF3AF5.tmp 15.04.2006 21:26 32.768 ~DF7D45.tmp 15.04.2006 21:26 16.384 ~DF5CE9.tmp 15.04.2006 21:00 62.574 878af3.exe 15.04.2006 20:00 62.574 7ca392.exe 15.04.2006 19:18 431 systemtemp.txt 15.04.2006 19:00 62.574 35ad13.exe 06.04.2005 17:39 121.064 Set443.tmp 06.04.2005 17:39 121.064 Set461.tmp 06.04.2005 17:39 121.064 Set45E.tmp Verzeichnis von C:\WINDOWS 16.04.2006 18:00 32.556 SchedLgU.Txt 16.04.2006 08:41 725 win.ini 16.04.2006 08:32 0 0.log 16.04.2006 08:32 1.558.934 WindowsUpdate.log 16.04.2006 08:32 2.048 bootstat.dat 15.04.2006 23:07 2.930 cdplayer.ini 15.04.2006 22:45 164.845 setupapi.log 15.04.2006 19:20 2.957 system.txt 14.04.2006 23:46 28 Q810577Uninst.log 14.04.2006 21:33 4.359 ODBCINST.INI 14.04.2006 21:31 31 LxTrans.INI 14.04.2006 21:18 812.482 ntbtlog.txt 12.04.2006 19:46 14 cfh232.cfg 12.04.2006 19:34 16 furry.ini 08.04.2006 15:16 1.662 MKDEMSG.LOG 08.04.2006 15:15 1.024 MKDEWE.TRN 04.04.2006 22:38 81 loge.dat 04.04.2006 22:28 2.890 COM+.log 04.04.2006 22:22 7.457 KB829558.log 02.04.2006 22:06 10.308 ModemLog_Motorola USB Modem.txt 01.04.2006 11:21 10.300 svcpack.log 30.03.2006 17:50 211.222 iis6.log 30.03.2006 17:50 31.568 ntdtcsetup.log 30.03.2006 17:50 53.880 comsetup.log 30.03.2006 17:50 64.665 tsoc.log 30.03.2006 17:50 1.374 imsins.log 30.03.2006 17:50 6.642 msgsocm.log 30.03.2006 17:50 5.284 ocmsn.log 30.03.2006 17:50 64.996 ocgen.log 30.03.2006 17:50 126.156 FaxSetup.log 30.03.2006 17:50 51.238 msmqinst.log 30.03.2006 17:49 622 avmcoins.log 12.03.2006 21:17 30.113 xpsp1hfm.log 12.03.2006 21:17 1.374 imsins.BAK 12.03.2006 21:17 36.765 KB828741.log 12.03.2006 21:15 31.079 KB835732.log 12.03.2006 21:12 22.786 Q329834.log 12.03.2006 21:12 41.653 KB823559.log 12.03.2006 21:09 22.393 Q329048.log 12.03.2006 21:08 20.968 KB834707-IE6-20040929.115007.log 12.03.2006 21:07 33.386 Q810577.log 12.03.2006 21:06 1.189.252 setupapi.log.0.old 12.03.2006 21:06 30.218 Q810833.log 12.03.2006 21:05 27.409 Q811630.log 12.03.2006 21:04 26.057 Q329441.log 12.03.2006 21:04 25.762 Q817606.log 12.03.2006 21:03 22.834 Q329170.log 12.03.2006 21:02 3.521 Q329115.log 12.03.2006 21:01 2.939 Q329390.log 12.03.2006 21:01 2.295 Q323255.log 05.03.2006 00:57 216 wiadebug.log 04.03.2006 23:47 6.264 KB842773.log 04.03.2006 23:47 178.951 setupact.log 04.03.2006 18:00 50 wiaservc.log 28.02.2006 23:09 14.126 Windows Update.log 28.02.2006 22:37 587 KB833680.log 25.02.2006 22:14 4.753 mozver.dat 25.02.2006 21:15 87 GEARInstall.log 07.02.2006 22:47 381.146 wmsetup.log 26.12.2005 21:08 270 cncscore.ini Verzeichnis von C:\ 16.04.2006 18:43 0 sys.txt 16.04.2006 18:42 7.569 system.txt 16.04.2006 18:42 2.124 systemtemp.txt 16.04.2006 18:41 107.179 system32.txt 16.04.2006 08:32 267.964.416 hiberfil.sys 16.04.2006 08:32 402.653.184 pagefile.sys 15.04.2006 20:06 1.261 RootkitReveal.txt 15.04.2006 19:24 871 DirDPF.txt 15.04.2006 19:24 2 DirDPFCns.txt 28.02.2006 22:53 0 DBS.TXT 10)DPF???? Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9042-0B72 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.08.2005 15:43 193 ampx.inf 30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf 14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx 14.10.2005 12:02 372.736 MsnPUpld.dll 14.10.2005 13:49 587 MSNPupld.inf 31.05.2002 10:19 117.328 purde-de.dll 19.06.2002 15:11 117.088 PURen-us.dll 25.01.2004 14:43 1.087 qdiagcc.inf 27.08.2005 14:30 5.065 swflash.inf 26.05.2005 05:19 291 wuweb.inf 10 Datei(en) 728.266 Bytes Anzahl der angezeigten Dateien: 10 Datei(en) 728.266 Bytes 0 Verzeichnis(se), 15.956.938.752 Bytes frei 10)DPF???? Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 9042-0B72 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.08.2005 15:43 193 ampx.inf 19.12.2005 13:35 135.168 asinst.dll 28.11.2005 16:40 525 asinst.inf 30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf 14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx 14.10.2005 12:02 372.736 MsnPUpld.dll 14.10.2005 13:49 587 MSNPupld.inf 31.05.2002 10:19 117.328 purde-de.dll 19.06.2002 15:11 117.088 PURen-us.dll 25.01.2004 14:43 1.087 qdiagcc.inf 27.08.2005 14:30 5.065 swflash.inf 26.05.2005 05:19 291 wuweb.inf 12 Datei(en) 863.959 Bytes Anzahl der angezeigten Dateien: 12 Datei(en) 863.959 Bytes 0 Verzeichnis(se), 16.096.157.696 Bytes frei |
|
|
||
16.04.2006, 19:03
Ehrenmitglied
Beiträge: 29434 |
#13
surf
Einzelne Dateien scannen Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html http://sandbox.norman.no/live_4.html C:\WINDOWS\System32\d3dlg.dll poste hier die scanreporte __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 19:09
Ehrenmitglied
Beiträge: 29434 |
#14
Surf
nun beginne auch den Swizzor zu reinigen: 1. Messenger Plus + Sponsorprogramm deinstallieren 2. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .. C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.inf C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll C:\WINDOWS\Downloaded Program Files\MSNPupld.inf C:\WINDOWS\System32\d3dlg.dll PC neustarten 3. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 4. Counterspy http://virus-protect.org/counterspy.html * nach dem Scan muss man sich entscheiden für: *Ignore *Remove --> Status: Deleted *Quarantaine wähle immer Remove und starte den PC neu 5. scanne mit panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.04.2006, 19:28
Member
Beiträge: 15 |
#15
sabina, hier das ergebnis von sandbox.........der scan bei virustotal hat nicht funktioniert.
Norman Scanner Engine 5.90. 7 Sandbox 05.90, dated 8/03-2006 Your message ID (for later reference): 20060416-1449 The sandbox only run Windows 32-bit executable code. We try to decompress most archives and use a list of passwords (norman,infected,virus etc). If you are certain you submitted something containing binary code (Windows executables) try to repack the file with one of the passwords given and resend it. 1643 mail.dat Mail 0 d3dlg.dll.vir UNKNOWN 186 qdbgtinxaphejzkidjpg44427b80ab5e3.zip ZIP (C) 2004-2006 Norman ASA. All Rights Reserved. The material presented is distributed by Norman ASA as an information source only. |
|
|
||
AntiVir meldet den Trojaner Swizzor_A auf meinem PC und kann ihn nicht entfernen.
Ich habe jetzt einfach einen neuen Beitrag eröffnet, hoffe das war ok.
Was muß ich tun? Danke schon mal im vorraus.
Logfile of HijackThis v1.99.1
Scan saved at 00:36:33, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Alfons\Eigene Dateien\Downloads\Swizzor\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62089E98-6B3C-05CE-ECD1-330C01AB8164} - C:\DOKUME~1\Alfons\ANWEND~1\Bike01\TRANS DEFY.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [InstantOn] "C:\Programme\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [FourStartDashTrust] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InfoDeleteFourStart\comp grid.exe
O4 - HKCU\..\Run: [Sixth Idol] C:\DOKUME~1\Alfons\ANWEND~1\OPTION~1\Stop Aim.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128778405937
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Gruß Alfons
Edit: Hallo und ein kleiner Nachtrag,
den IE benutze ich nur für MicrsoftUpdates und ansonsten Opera.
Vermutlich habe ich meinen PC mit Netpumper infiziert, oder?
Kann ich den vorab schon deinstallieren oder soll ich erst mit HijackThis ein paar Malware löschen?
Wie kann ich selber herausfinden, welche Einträge gelöscht werden müssen?
Viel Grüße
Alfons