Rollstuhl-Icon wegen Spyfalcon? |
||
---|---|---|
#0
| ||
11.05.2006, 13:21
...neu hier
Beiträge: 2 |
||
|
||
11.05.2006, 16:03
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2006, 18:34
...neu hier
Themenstarter Beiträge: 2 |
#3
Cleanup hat schon mal über 45000 Dateien gelöscht...
datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C00E-31F2 Verzeichnis von C:\WINDOWS\SYSTEM32 11.05.2006 18:25 29.204 nvapps.xml 11.05.2006 18:25 7.168 simpole.tlb 11.05.2006 18:25 43.008 hp2B7D.tmp 11.05.2006 18:24 5.032 stdole3.tlb 11.05.2006 18:06 43.008 hpC2E2.tmp 11.05.2006 18:06 32.781 ldBAF3.tmp 11.05.2006 12:59 10.236 atmclk.exe (hierzu meldet sich die kerio FW öfters. 11.05.2006 12:22 66.048 dcomcfg.exe 08.05.2006 12:25 33.792 hp2735.tmp 08.05.2006 12:24 33.792 hpC459.tmp 08.05.2006 08:08 4.286 ot.ico 08.05.2006 08:08 5.368 dxole32.exe 08.05.2006 02:11 176.128 reglogs.dll 08.05.2006 01:58 41.997 regperf.exe 21.04.2006 21:38 1.170 WPA.DBL 01.04.2006 16:08 380.350 PERFH009.DAT 01.04.2006 16:08 391.000 PERFH007.DAT 01.04.2006 16:08 52.764 PERFC009.DAT 01.04.2006 16:08 63.580 PERFC007.DAT 01.04.2006 16:08 897.778 PerfStringBackup.INI 20.03.2006 19:25 4.610 ModemLog_AVM ISDN BTX.txt 20.03.2006 19:25 4.162 ModemLog_AVM ISDN Custom Config.txt 20.03.2006 19:25 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt 20.03.2006 19:25 4.620 ModemLog_AVM ISDN FAX (G3).txt 20.03.2006 19:25 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt 20.03.2006 19:25 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt 20.03.2006 19:25 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt 20.03.2006 19:25 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 20.03.2006 19:25 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 15.03.2006 20:01 201.736 FNTCACHE.DAT 19.02.2006 17:39 16.832 amcompat.tlb 19.02.2006 17:39 23.392 nscompat.tlb 19.02.2006 17:08 57 peer.ini 26.01.2006 20:36 574.976 DivX.dll ----------------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C00E-31F2 Verzeichnis von C:\DOKUME~1\karacho\LOKALE~1\Temp 11.05.2006 18:25 2 Twain001.Mtx 11.05.2006 18:25 0 TWAIN.LOG 2 Datei(en) 2 Bytes 0 Verzeichnis(se), 31.109.918.720 Bytes frei ---------------------------------------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C00E-31F2 Verzeichnis von C:\WINDOWS 11.05.2006 18:30 513 DFC.INI 11.05.2006 18:06 0 0.log 11.05.2006 18:06 159 WIADEBUG.LOG 11.05.2006 18:06 50 WIASERVC.LOG 11.05.2006 18:06 2.048 BOOTSTAT.DAT 11.05.2006 14:02 336.012 WindowsUpdate.log 11.05.2006 12:26 32.622 SchedLgU.Txt 10.05.2006 12:38 54.156 QTFont.qfn 08.05.2006 01:59 437.053 wmsetup.log 07.05.2006 13:37 1.235 WIN.INI 17.04.2006 20:50 59 pp.enc 17.04.2006 20:35 1.007.594 setupapi.log 17.04.2006 19:50 796.672 GPInstall.exe 11.04.2006 20:37 373 nsw.log 07.04.2006 19:22 321.341 Directx.log 01.04.2006 18:49 683 avmcoins.log 01.04.2006 18:00 276 game.ini 01.04.2006 16:59 800 avmenum32.log 01.04.2006 16:51 2.069 avmadd321.log 01.04.2006 16:51 1.106 avmadd32.log 01.04.2006 16:48 235 avmadd322.log 01.04.2006 16:48 37.147 avmw2k.log 27.03.2006 16:48 62 wininit.ini 27.03.2006 16:36 110.452 Omega Drivers v3.8.221.log 27.03.2006 16:34 451.072 Radeon Omega Drivers v3.8.221 Uninstall.exe 27.03.2006 16:12 198.522 SETUPACT.LOG 23.03.2006 14:55 9.572 System.ini 20.03.2006 19:25 3.678 ModemLog_Generic SoftK56 Data Fax.txt 08.03.2006 03:31 23.181 Run32A50.mch 08.03.2006 03:31 35 A5W.INI 04.03.2006 20:55 949 orun32.ini 01.03.2006 02:48 29.696 mickey32.dll 01.03.2006 02:48 202.680 Pirhana Advancements.scr 01.03.2006 02:48 154.520 Pirhana Advancements.exe 01.03.2006 02:48 3.085.548 PSXWO3.exe 01.03.2006 02:48 311.384 PSXWO3.scr 01.03.2006 02:48 160.259 Qirex RD.exe 01.03.2006 02:48 202.680 Qirex RD.scr 01.03.2006 02:47 154.990 Icaras.exe 01.03.2006 02:47 202.680 Icaras.scr 01.03.2006 02:46 202.680 Goteki 45.scr 01.03.2006 02:46 153.631 Goteki 45.exe 26.02.2006 19:47 107.134 UninstallFirefox.exe 26.02.2006 19:47 28.179 mozver.dat 26.02.2006 19:12 104.053 SeaMonkeyUninstall.exe 26.02.2006 19:12 104.053 GREUninstall.exe 26.02.2006 19:09 99.024 MozillaUninstall.exe 19.02.2006 17:40 494 wmsetup10.log 19.02.2006 17:39 316.640 WMSysPr9.prx 20.01.2006 01:03 1.409 QTFont.for 13.01.2006 11:40 43.851 cdPlayer.ini 03.01.2006 11:10 2.088.960 TBPanel.exe ------------------------------------------------------------------ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C00E-31F2 Verzeichnis von C:\ 11.05.2006 18:32 0 sys.txt 11.05.2006 18:32 13.444 system.txt 11.05.2006 18:31 342 systemtemp.txt 11.05.2006 18:30 118.188 datfindbat1.txt 11.05.2006 18:30 118.188 system32.txt 11.05.2006 18:06 535.896.064 hiberfil.sys 11.05.2006 18:05 805.306.368 pagefile.sys 17.04.2006 13:36 162.152 EyeCandyLog.txt 18.11.2005 12:21 856 flashplayer.xpt 28.09.2005 11:59 2.496 TDSLCheck.txt 03.09.2005 19:17 8.704 Thumbs.db 06.04.2005 12:55 10 lqlurj.gqe 27.02.2005 15:00 215 BOOT.INI 18.01.2005 20:29 2 Brettspielwelt prop.txt Sollte ich vielleicht doch die Kiste platt machen? Was muss ich beachten bei so einer Aktion? PC hat ein Admin Konto mit Passwort. Möchte mir natürlich Daten sichern....findet mein Antivir PE Classic denn eventuelle Trojaner zwischen diesen Dateien wenn da welche wären und ich mit dem alten System danach suchen lasse? Denn gemeldet hat sich Antivir bis jetzt nicht trotz Trojaner oder was das ist... Dieser Beitrag wurde am 12.05.2006 um 00:05 Uhr von Feister editiert.
|
|
|
||
12.05.2006, 02:57
Ehrenmitglied
Beiträge: 29434 |
#4
Feister
Info Spyfalcon http://virus-protect.org/artikel/spyware/spyfalcon.html ------------------------------------------------- 1. Start-->Ausfuehren --> schreib (kopiere) in das kleine Fenster: sc stop Network DDE Connections sc delete Network DDE Connections ------------------------------------------------ sc stop Netbios Helper Service sc delete Netbios Helper Service und klicke o.k. Damit sollte die Dienste erst einmal gelöscht werden. ------------------------ 2. Laden und alles auf dem Desktop entpacken:- spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok ----------------------------------------------------------- 3. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ..... Zitat C:\WINDOWS\SYSTEM32\nvapps.xmlPC neustarten 4. öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)5. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm 6. Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen 7. öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde. ------ 8. Datenträgerbereinigung: und Löschen der Temporary-Dateien Start - Ausführen - cleanmgr (reinschreiben) Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k. Klick: Temporäre Dateien -> o.k --------- 9. boote wieder in den Normalmodus deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder) Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 10. superantispyware http://virus-protect.org/artikel/tools/superantispyware.html ------------------------------------------------- 11. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Mein Trojaner oder Wurm hat wohl etwas mit Spyfalcon zu tun, sonst hab ich keine Ahnung, sorry. In der Taskleiste ist ein Rollstuhl zu sehen der blinkt (so ein Schmarrn...) weiter öffnet sich alle 2 Minuten ein kleines Window "Your Computer is infected, und neuerdings auch noch das Windows Security Emblem in der Taskleite.
Hab mich durchs Forum hier gelesen, hier schon mal das Hijack LogFile, HILFEE!
Logfile of HijackThis v1.99.1
Scan saved at 01:20:16, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\opera\Opera.exe
C:\Dokumente und Einstellungen\karacho\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cfxvty.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://proxy10.safersurf.com:7779
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpE85C.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\karacho\Anwendungsdaten\RssBandit\iecontext_su
bscribefeed.htm
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O15 - Trusted Zone: http://www.egostat.com
O15 - Trusted Zone: *.egostat.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp [...] rtutil.CAB
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Bet365/FlashAX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp [...] veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8044A9-3510-4FF2-B02B-4
5E1BF1BDDC7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD2B690-32D0-4F73-BFD7-2
B6281950710}: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
---------------------------------------------------------
Habe dann diese Einträge gefixed:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\karacho\Anwendungsdaten\RssBandit\iecontext_su
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)
--------------------------------------------------------------------------
Dann Spybot & Adaware laufen lassen.
Spybot fand noch einen Eintrag, etwas mit Wildtangent...habs "beheben lassen". Neustart. Gleicher Schei... noch immer da:
Winpatrol meldete sich auch mit diesem hier:
Habe auf "Ja" geklickt. Leider ist die Seite nicht "blank" sondern linkt hier hin:
http://www.securityuptodate.com/
Dann kommen zwischendurch von der Kerio Firewall immer solche Meldungen:
"Anwendung startet andere Anwendung" Win Befehlsprozessor, und immer heisst es LDirgendwas. Hab oft auch mal "zulassen" geklickt. Kerio haqt unter "Anwendungen" ne Menge LD´s, siehe hier:
Hier noch das zweite Hijack Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 12:29:49, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\karacho\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cfxvty.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cfxvty.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://proxy10.safersurf.com:7779
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpB640.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: in/mit BitSpirit runterladen - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: bet365 Poker - {B1BA4A3F-1C95-497b-9F82-F8DA4A5C89DD} - C:\Programme\bet365MPP\MPPoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O15 - Trusted Zone: http://www.egostat.com
O15 - Trusted Zone: *.egostat.com
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp [...] rtutil.CAB
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://mppv2flash3.valueactive.com/Bet365/FlashAX.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp [...] veData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8044A9-3510-4FF2-B02B-4
5E1BF1BDDC7}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBD2B690-32D0-4F73-BFD7-2
B6281950710}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: Netbios Helper Service - Unknown owner - C:\WINDOWS\system32\altsvc.exe (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\SYSTEM32\service.exe (file missing)
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe