trojaner TR/Dldr.FFZ.55 |
||
---|---|---|
#0
| ||
08.05.2006, 17:57
Member
Beiträge: 93 |
||
|
||
08.05.2006, 18:18
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo
arbeite das bitte ab und poste die logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2006, 23:47
Member
Themenstarter Beiträge: 93 |
#3
schönen guten nabend!
also vor ein paar tagen wurden ca 10 der viecher lokalisiert, ich hab sie entfernt, aba tag später waren wida 4 drauf und der pc stürzte ständig ab bis dann gar nix mehr ging und ich ihn noch nicht einmal mehr hochfahren konnte!! nach einer nacht und vielen resets, kopfzerbrechen un verzweiflung konnt ich ihn doch hochfahren und nach einem scan wurden 2 trojaner dateien entdeckt C:\system volume information\_restore {0d0c58e9-5084-4263-8356-5417080d82d0}\rp15\a0024667.exe die letzte warA0024807.exe und seit her hab ich täglich neue dateien drauf!! so hier sind die benötigten logs! ..ich hoff dass mir noch zu helfen ist :} !! Logfile of HijackThis v1.99.1 Scan saved at 20:52:09, on 08.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 () Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\TVgenial\TVgenial.exe C:\Programme\Internet Explorer\iexplore.exe C:\unzipped\hijackthis[1]\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ R3 - URLSearchHook: (no name) - {529EA956-862F-8D8D-1E00-C5787E64734D} - zantu.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Serviceprocess] JAguAr.exe O4 - HKLM\..\Run: [trycrt] typeconf.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 O4 - HKCU\..\Run: [new32] SysEntry.exe O4 - HKCU\..\Run: [newbreed] PasswdMon.exe O4 - HKCU\..\Run: [mozilla-text] PrcIdle.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189 O17 - HKLM\System\CCS\Services\Tcpip\..\{D88D1E12-FBB1-4672-9E27-AB6BD378540C}: NameServer = 85.255.116.88 85.255.112.189 O17 - HKLM\System\CS1\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189 O17 - HKLM\System\CS2\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189 O17 - HKLM\System\CS3\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe so hier nr.1: Datentr„ger in Laufwerk C: ist System Verzeichnis von C:\WINDOWS\system32 04.05.2006 12:12 654.111 filesafer23.exe 30.04.2006 22:37 2.206 wpa.dbl 27.04.2006 13:53 51.247 csphz.exe 27.04.2006 13:53 51.247 csrhl.exe 27.04.2006 13:53 51.247 csirg.exe 27.04.2006 13:53 51.247 csmnh.exe 26.03.2006 05:16 311.604 perfh009.dat 26.03.2006 05:16 39.992 perfc009.dat 26.03.2006 05:16 48.156 perfc007.dat 26.03.2006 05:16 316.594 perfh007.dat 26.03.2006 05:16 723.744 PerfStringBackup.INI 25.03.2006 11:14 113.376 FNTCACHE.DAT 03.03.2006 03:13 1.740 d3d8caps.dat 26.02.2006 20:22 36.734 OggDSuninst.exe 23.02.2006 18:29 1.852 d3d9caps.dat 12.02.2006 15:31 16.832 amcompat.tlb 12.02.2006 15:31 23.392 nscompat.tlb 12.02.2006 15:03 176.167 rmoc3260.dll 12.02.2006 15:03 5.632 pndx5032.dll 12.02.2006 15:03 6.656 pndx5016.dll 12.02.2006 15:03 278.528 pncrt.dll 12.02.2006 14:45 7.006 jupdate-1.5.0_06-b05.log 12.02.2006 14:08 261 $winnt$.inf 12.02.2006 13:56 2.951 CONFIG.NT 12.02.2006 13:51 488 WindowsLogon.manifest 12.02.2006 13:51 488 logonui.exe.manifest 12.02.2006 13:51 749 wuaucpl.cpl.manifest 12.02.2006 13:51 749 cdplayer.exe.manifest 12.02.2006 13:51 749 sapi.cpl.manifest 12.02.2006 13:51 749 ncpa.cpl.manifest 12.02.2006 13:51 749 nwc.cpl.manifest 12.02.2006 13:45 21.740 emptyregdb.dat 12.02.2006 13:38 0 h323log.txt und die nr. 2: Verzeichnis von C:\DOKUME~1\name\LOKALE~1\Temp 08.05.2006 14:22 32.768 ~DFFA0B.tmp 08.05.2006 14:22 32.768 ~DF979F.tmp 2 Datei(en) 65.536 Bytes 0 Verzeichnis(se), 3.480.788.992 Bytes frei ..nr. 3: Verzeichnis von C:\WINDOWS 08.05.2006 14:23 1.526.198 WindowsUpdate.log 08.05.2006 14:22 0 0.log 08.05.2006 14:21 157 wiadebug.log 08.05.2006 14:21 50 wiaservc.log 08.05.2006 14:20 2.048 bootstat.dat 07.05.2006 17:51 0 nsreg.dat 07.05.2006 17:51 2.266 mozver.dat 07.05.2006 17:20 275 lexstat.ini 07.05.2006 15:21 69 NeroDigital.ini 07.05.2006 14:40 155 winamp.ini 27.04.2006 13:55 6.400 balloon.wav 25.04.2006 22:34 1.981.494 ACD Wallpaper.bmp 02.04.2006 18:55 173.243 setupact.log 23.03.2006 13:22 191 cdplayer.ini 16.03.2006 22:03 32 CD_Start.INI 10.03.2006 19:03 242.301 setupapi.log 27.02.2006 23:13 65.962 wmsetup.log 26.02.2006 20:23 316.640 WMSysPr9.prx 23.02.2006 18:25 1.166 DirectX.log 21.02.2006 02:44 299 wincmd.ini 19.02.2006 13:58 338.272 iis6.log 19.02.2006 13:58 96.215 comsetup.log 19.02.2006 13:58 57.630 ntdtcsetup.log 19.02.2006 13:58 122.704 tsoc.log 19.02.2006 13:58 13.070 tabletoc.log 19.02.2006 13:58 4.566 imsins.log 19.02.2006 13:58 14.424 ocmsn.log 19.02.2006 13:58 136.962 ocgen.log 19.02.2006 13:58 18.419 MedCtrOC.log 19.02.2006 13:58 13.181 msgsocm.log 19.02.2006 13:58 251.312 FaxSetup.log 19.02.2006 13:57 45.022 netfxocm.log 19.02.2006 13:57 89.672 msmqinst.log 12.02.2006 18:44 1.374 imsins.BAK 12.02.2006 15:42 400 ODBC.INI 12.02.2006 15:33 379 wmsetup10.log 12.02.2006 14:54 163.840 LgxSetup.exe 12.02.2006 14:51 342 SchedLgU.Txt 12.02.2006 14:36 488 win.ini 12.02.2006 14:32 194.560 the_fog_screensaver_pc.scr 12.02.2006 14:32 606.848 flashax.exe 12.02.2006 14:32 12.288 impborl.dll 12.02.2006 14:14 829 OEWABLog.txt 12.02.2006 14:13 739.868 setuplog.txt 12.02.2006 14:10 8.192 REGLOCS.OLD 12.02.2006 13:56 0 control.ini 12.02.2006 13:55 4.161 ODBCINST.INI 12.02.2006 13:51 749 WindowsShell.Manifest 12.02.2006 13:46 1.023 sessmgr.setup.log 12.02.2006 13:44 36 vb.ini 12.02.2006 13:44 37 vbaddin.ini 12.02.2006 13:44 133 DtcInstall.log 12.02.2006 13:39 200 cmsetacl.log 12.02.2006 13:35 0 Sti_Trace.log 12.02.2006 13:28 1.348 regopt.log 12.02.2006 13:28 231 system.ini 12.02.2006 13:24 0 setuperr.log un der 4.: Verzeichnis von C:\ 08.05.2006 23:01 0 sys.txt 08.05.2006 22:57 7.067 system.txt 08.05.2006 22:48 335 systemtemp.txt 08.05.2006 22:39 96.334 system32.txt 08.05.2006 14:19 268.034.048 hiberfil.sys 08.05.2006 14:19 402.653.184 pagefile.sys 12.02.2006 17:46 26.771 SDSSetup.log 12.02.2006 14:54 122 LgxUser.dic 12.02.2006 13:56 0 IO.SYS 12.02.2006 13:56 0 CONFIG.SYS 12.02.2006 13:56 0 AUTOEXEC.BAT 12.02.2006 13:56 0 MSDOS.SYS 12.02.2006 13:38 211 boot.ini 03.08.2004 22:59 251.184 ntldr 03.08.2004 22:38 47.564 NTDETECT.COM 29.08.2002 14:00 4.952 bootfont.bin 16 Datei(en) 671.121.772 Bytes 0 Verzeichnis(se), 3.480.776.704 Bytes frei bitte rette meinen rechner!!!!! und meine nächte!!! verzweifelte grüsse __________ will die weltherrschaft an mich reissen!! |
|
|
||
09.05.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#4
wicky
ich brauche noch dieses Log...dann beginnt die Reinigung Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Log-Datei (txt) auf dem Desktop __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2006, 01:05
Member
Themenstarter Beiträge: 93 |
#5
..das hat nicht funktioniert..
hab die bis juni aktuelle testversion geladen und folgendes wurde gefunden: csirg.exe filesafer23.exe wbemtest.exe aba jezt find ichs nirgendwo!! ... .. __________ will die weltherrschaft an mich reissen!! |
|
|
||
09.05.2006, 10:47
Ehrenmitglied
Beiträge: 29434 |
#6
wicky
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\csirg.exe C:\WINDOWS\system32\filesafer23.exe C:\WINDOWS\system32\howiper.exe C:\WINDOWS\system32\csphz.exe C:\WINDOWS\system32\favset.exe C:\WINDOWS\system32\csrhl.exe C:\WINDOWS\system32\csmnh.exe C:\WINDOWS\rdt.ini C:\WINDOWS\balloon.wav PC neustarten du musst nach dem Neustart eine neue Internetverbindung erstellen, denn die jetzige geht in die Ukraine..... öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {529EA956-862F-8D8D-1E00-C5787E64734D} - zantu.dll (file missing)PC neustarten ** erstelle eine neue Internetverbindung ** Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt ** scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ** Log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2006, 12:56
Member
Themenstarter Beiträge: 93 |
#7
wunderschönen guten tag!
ähm..also ich bin echt n laie³ was das ganze angeht un tut mir echt leid aba ich hab da echt ne blöde frage.. wie meinste das mit: du musst nach dem Neustart eine neue Internetverbindung erstellen, denn die jetzige geht in die Ukraine..... ?? wie erstellen? meinen browser neu einstellen? ?? damit hatte ich schon ma echte probleme..deswegen frag ich so blöd..sorry! __________ will die weltherrschaft an mich reissen!! |
|
|
||
09.05.2006, 14:59
Ehrenmitglied
Beiträge: 29434 |
#8
Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{0765C215-D64C-4CD8-8174-9E4406D809A4}: NameServer = 85.255.116.88,85.255.112.189nach dem Booten kann es sein, dass die Internetverbindung sich automatisch neu (und hoffentlich korrekt) erstellt oder: manuell mit den Zugangsdaten des Providers herstellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen. Info: http://virus-protect.org/artikel/spyware/favset.html http://virus-protect.org/artikel/spyware/favset1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.05.2006, 22:12
Member
Themenstarter Beiträge: 93 |
#9
haloooo da bin ich wida!!
killbox und reboot erledigt bin mir aba net sicher ob ich alles richtig gemacht hab.. hier erstma killbox log: Pocket Killbox version 2.0.0.648 Running on Windows XP as name(Administrator) was started @ Dienstag, Mai 09, 2006, 8:59 PM Killbox Closed(Exit) @ 9:04:19 PM __________________________________________________ Pocket Killbox version 2.0.0.648 Running on Windows XP as Jochen(Administrator) was started @ Dienstag, Mai 09, 2006, 9:04 PM # 1 [Delete on Reboot] Path = C:\WINDOWS\system32\csirg.exe # 2 [Delete on Reboot] Path = C:\WINDOWS\system32\filesafer23.exe # 3 [Delete on Reboot] Path = C:\WINDOWS\system32\howiper.exe # 4 [Delete on Reboot] Path = C:\WINDOWS\system32\howiper.exe # 5 [Delete on Reboot] Path = C:\WINDOWS\system32\csphz.exe # 6 [Delete on Reboot] Path = C:\WINDOWS\system32\favset.exe # 7 [Delete on Reboot] Path = C:\WINDOWS\system32\csrhl.exe # 8 [Delete on Reboot] Path = C:\WINDOWS\system32\csmnh.exe # 9 [Delete on Reboot] Path = C:\WINDOWS\rdt.ini # 10 [Delete on Reboot] Path = C:\WINDOWS\balloon.wav I Rebooted @ 9:16:01 PM Killbox Closed(Exit) @ 9:16:18 PM __________________________________________________ ..weil die internetverbindung unberührt war, auch die dns bei eigenschaften des internetprot ist nicht auf automatisch beziehen eingestellt! und dann hab ich folgendes entdeckt: C:\!KILLBOX\baloon.wav C:\!KILLBOX\csmnh.exe C:\!KILLBOX\csphz.exe C:\!KILLBOX\csrhl.exe soll ich die manuell löschen? danke für die gedult mit mir..lg! __________ will die weltherrschaft an mich reissen!! Dieser Beitrag wurde am 09.05.2006 um 22:25 Uhr von wicky editiert.
|
|
|
||
09.05.2006, 23:51
Ehrenmitglied
Beiträge: 29434 |
#10
ja, leere die killbox.
dann: scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ** Log vom Silentrunner http://virus-protect.org/silentrunner.html + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.05.2006, 12:14
Member
Themenstarter Beiträge: 93 |
#11
guten taaag!
sorry bei mir dauert alles so lange..hab ja auch wenig zeit un dann musste ich ja alles neu einrichten.. also..hab die killbox geleert und mit hijackthis die malewareeinträge gelöscht dann hab ich mit ewido online gescannt, report: ewido security suite online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@as1.falkag[2].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@ivwbox[1].txt Risk: Medium Name: Adware.CoolWebSearch Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj Risk: Medium Name: Adware.CoolWebSearch Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID Risk: Medium Name: Adware.CoolWebSearch Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CurVer Risk: Medium Name: Adware.CoolWebSearch Path: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj.1 Risk: Medium Name: Downloader.Agent.uj Path: [496] VM_00D60000 Risk: High Name: Downloader.Agent.uj Path: [520] VM_00BF0000 Risk: High Name: Downloader.Agent.uj Path: [1180] VM_009D0000 Risk: High Name: Downloader.Agent.uj Path: [1828] VM_00D20000 Risk: High Name: Downloader.Agent.uj Path: [1840] VM_007B0000 Risk: High Name: Downloader.Agent.uj Path: [1852] VM_00390000 Risk: High Name: Downloader.Agent.uj Path: [2292] VM_00880000 Risk: High Name: Downloader.Agent.uj Path: [3588] VM_009B0000 Risk: High Name: Downloader.Agent.uj Path: [3672] VM_00890000 Risk: High Name: Downloader.Agent.uj Path: [3692] VM_00840000 Risk: High Name: Downloader.Agent.uj Path: [2620] VM_01140000 Risk: High Name: Downloader.Agent.uj Path: [2744] VM_00860000 Risk: High Name: Downloader.Agent.uj Path: [2920] VM_00BB0000 Risk: High Name: TrackingCookie.Ivwbox Path: :mozilla.8:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.9:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.10:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.11:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.12:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.13:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: TrackingCookie.Falkag Path: :mozilla.14:C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Mozilla\Firefox\Profiles\xw23amj7.default\cookies.txt Risk: Medium Name: Adware.SBSoft Path: C:\Programme\Microsoft AntiSpyware\Quarantine\02F01BF8-5151-4E32-B177-3FD321\4BA119CE-96E3-4655-9712-C291CA Risk: Medium Name: Trojan.DNSChanger.cv Path: C:\WINDOWS\system32\hgqhp.exe Risk: High konnte aba nix davon löschen un hab ewido runtergeladen un nochma gescannt, report: -------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 02:28:01, 10.05.2006 + Report-Checksumme: 6AD10976 + Scanergebnis: [496] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern [520] VM_00BF0000 -> Downloader.Agent.uj : Fehler beim Säubern [1180] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern [1828] VM_00D20000 -> Downloader.Agent.uj : Fehler beim Säubern [1840] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern [1852] VM_00390000 -> Downloader.Agent.uj : Fehler beim Säubern [2292] VM_00880000 -> Downloader.Agent.uj : Fehler beim Säubern [3588] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern [3672] VM_00890000 -> Downloader.Agent.uj : Fehler beim Säubern [3692] VM_00840000 -> Downloader.Agent.uj : Fehler beim Säubern [2620] VM_01140000 -> Downloader.Agent.uj : Fehler beim Säubern [2744] VM_00860000 -> Downloader.Agent.uj : Fehler beim Säubern [2920] VM_00BB0000 -> Downloader.Agent.uj : Fehler beim Säubern [728] VM_00850000 -> Downloader.Agent.uj : Fehler beim Säubern C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Jochen\Cookies\jochen@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Programme\Microsoft AntiSpyware\Quarantine\02F01BF8-5151-4E32-B177-3FD321\4BA119CE-96E3-4655-9712-C291CA -> Adware.SBSoft : Gesäubert mit Backup ::Report Ende un hab heut morgen nomma gescannt ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 11:31:01, 10.05.2006 + Report-Checksumme: 5FAB8E65 + Scanergebnis: [496] VM_00D60000 -> Downloader.Agent.uj : Fehler beim Säubern [520] VM_00BF0000 -> Downloader.Agent.uj : Fehler beim Säubern [1180] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern [1720] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern [1728] VM_00D20000 -> Downloader.Agent.uj : Fehler beim Säubern [2092] VM_00390000 -> Downloader.Agent.uj : Fehler beim Säubern [2276] VM_00880000 -> Downloader.Agent.uj : Fehler beim Säubern [2384] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern [2408] VM_00890000 -> Downloader.Agent.uj : Fehler beim Säubern [2544] VM_00840000 -> Downloader.Agent.uj : Fehler beim Säubern [2468] VM_01140000 -> Downloader.Agent.uj : Fehler beim Säubern [2724] VM_00860000 -> Downloader.Agent.uj : Fehler beim Säubern [540] VM_00BB0000 -> Downloader.Agent.uj : Fehler beim Säubern [4092] VM_00850000 -> Downloader.Agent.uj : Fehler beim Säubern ::Report Ende aba mach wohl alles falsch oda was is da fürn fehler beim säubern?? dann hab ich ich silentrunner geholt und das funktioniert nicht,meldung: der zugriff auf windows script host wurde für diesen computer deaktiviert ! un ich weiss ma wida net weiter...hiiilfe.... verzweifelte grüsse wicky.. ..!!.. hossaaa!! habs doch noch geschafft! "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "TVgenial" = "C:\Programme\TVgenial\TVgenial.exe -d" [null data] "updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0" ["Adobe Systems Incorporated"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "gcasServ" = ""C:\Programme\Microsoft AntiSpyware\gcasServ.exe"" [MS] "CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."] "Siemens SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [empty string] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] "SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = (no title provided) -> {HKLM...CLSID} = "WebSpeechBHO Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll" ["G DATA Software AG"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {HKLM...CLSID} = "CloneCD Shell Extension" \InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device" -> {HKLM...CLSID} = "Siemens Device" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device ContextMenuHandler" -> {HKLM...CLSID} = "Siemens Device ContextMenuHandler" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens SX1 PropertySheetHandler" -> {HKLM...CLSID} = "Siemens Device PropertySheetHandler" \InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\DES\DESShellExt.dll" ["Siemens AG"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook" -> {HKLM...CLSID} = "Microsoft.AntiSpyware.ShellExecuteHook.1" \InProcServer32\(Default) = "C:\Programme\Microsoft AntiSpyware\shellextension.dll" [MS] INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csmmx.exe" [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {HKLM...CLSID} = "WinZip" \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\ACD Wallpaper.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\THE_FO~1.SCR" (the_fog_screensaver_pc.scr) ["ScreenTime Media"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {1CE4DE72-7FCC-4EB8-8F66-AE6A56A0A54D}\ "ButtonText" = "WebSpeech" "MenuText" = "Seite/Markierung vorlesen (WebSpeech)" "CLSIDExtension" = "{0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C}" -> {HKLM...CLSID} = "WebSpeechCmd Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll" ["G DATA Software AG"] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 80 seconds, including 8 seconds for message boxes) ..so un der hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 14:26:10, on 10.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Messenger\msmsgs.exe C:\Programme\TVgenial\TVgenial.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\unzipped\hijackthis[1]\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [Siemens SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe ..so hoffe dass ich alles richtig gemacht hab.. lg wicky __________ will die weltherrschaft an mich reissen!! Dieser Beitrag wurde am 10.05.2006 um 14:33 Uhr von wicky editiert.
|
|
|
||
10.05.2006, 14:37
Ehrenmitglied
Beiträge: 29434 |
#12
wicky
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4kopiere in die killbox; + loeschen C:\WINDOWS\system32\csmmx.exe ** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). ** Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen ** sanne mit ewido im abgesicherten Modus -------------------------------------------------------------------- ** boote wieder in den normalmodus und poste den scanreport vom ewido ** Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.05.2006, 16:20
Member
Themenstarter Beiträge: 93 |
#13
..also fixme.reg hb ich aufm desktop aba als ich mit der killbox in den abgesicherten mod. starten wollte ist mir das (wie immer !) misslungen und er ist in n standardmodus gefahren .. :.(
und jezt wollt ich das wiederholen aba wenn ich auf :do you want to reboot now klick kommt folgende meldung: PendingFileRenameOperatins Registry Data has been removed by external prozess ..und ich weiss net was gemeint is... :.( :.( :.( und leider geht der Download FixWareout: http://swandog46.geekstogo.com/Fixwareout.exe net mehr !!!! die seite gibts wohl noch aba kein fixwareout!! lg wicky __________ will die weltherrschaft an mich reissen!! Dieser Beitrag wurde am 10.05.2006 um 19:56 Uhr von wicky editiert.
|
|
|
||
10.05.2006, 20:36
Ehrenmitglied
Beiträge: 29434 |
#14
**
wenn diese meldung bei der Killbox kommt...starte du den PC neu.. ** FixWareout:..der Link ist tot seit heute ** Trend Micro Anti-Spyware for the Web -> poste den scanbericht...oder berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.05.2006, 22:36
Member
Themenstarter Beiträge: 93 |
#15
schönen guten abend sabina!
..klingt so als hätt ich wohl was gutes verpasst mit fixwareout..?!.mist.. aufjedenfall hab ich die datei mit killbox gelöscht un neu gestartet aba iob dus glaubst oda net ich krieg den abgesicherten modus nicht hin!! so blöd bin ich auch wida net! deswegen hab ich auch die fixme.reg nicht in den register eingefügt.. ?soll ich das im normalmodus machen?? so un hab grade mit trendmicro antispy gescannt..und leider war der bericht net zu kopieren aba ich hab dann damit folgendes damit gelöscht: Spyware_KEYL.BossEverywere: HKGR\.dsv\ HKLM\SOFTWARE\Classes\.dsv Freeloader_UnspyPC: HKCU\Software\UnspyPC\ (der hat ja am anfang meinen pc abstürzen lassen!) TSPY_Favadd.AA: 12stk!!! unter C:\dokum un eistell\nameuser\favoriten\SpywareUninstall\\(......)..url diese ordner unter n favoriten liessen sich danach auch nicht öffnen un ich hab sie manuell gelöscht.. ..mannnnnn ich hoffe das hat bald n ende...und ich daaaaaaaaaaaanke dir eeeeeeeeeeeeeeeeecht für deine hilfe und geduld!!! lg wicky __________ will die weltherrschaft an mich reissen!! Dieser Beitrag wurde am 13.05.2006 um 01:05 Uhr von wicky editiert.
|
|
|
||
vor ein paar tagen hatte ich ganz viele davon un danach stürzte mir der rechner dauernd ab bis er dann noch nicht mehr mal hochladen wollte!
next day gings wida aber seitdem hab ich tägl 2 davon, als zb a0024667.exe oda a0024807.exe drauf!
__________
will die weltherrschaft an mich reissen!!