UnSpyPc - nun hats mich auch erwischt -Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
11.05.2006, 16:21
Member
Beiträge: 17 |
||
|
||
11.05.2006, 17:56
Ehrenmitglied
Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Download f-secure-Beta Trial -> poste das log http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2006, 19:47
Member
Themenstarter Beiträge: 17 |
#3
Hallo Sabina,
ich musste eben alles nochmal machen, da ich nicht eingeloggt war. In der Hoffnung mich nicht allzu ungeschickt angestellt zu haben, sage ich schon mal vielen DANKE im Vorraus. -------------------------------------------------------------- Clean up habe ich ausgeführt und es wurden ca. 4000 Dateien gelöscht. --------------------------------------------------------------- Zu Virus-protect LOG 1 Datentr„ger in Laufwerk C: ist Windoof-XP Volumeseriennummer: 808D-F4E9 Verzeichnis von C:\WINDOWS\system32 11.05.2006 19:46 0 nmp.log 11.05.2006 18:39 0 _nvidia_xxx_.log 11.05.2006 09:01 155.648 ixpov.dll 07.05.2006 21:15 2.206 wpa.dbl 20.04.2006 21:47 73 superpad6.lnf 20.04.2006 21:47 35 superpad9.lnf 18.04.2006 17:19 35 superpad8.lnf 26.03.2006 19:29 52.900 perfc009.dat 26.03.2006 19:29 63.784 perfc007.dat 26.03.2006 19:29 391.330 perfh007.dat 26.03.2006 19:29 380.486 perfh009.dat 26.03.2006 19:29 897.954 PerfStringBackup.INI 14.03.2006 13:51 251.880 FNTCACHE.DAT 18.02.2006 18:42 25.017 app_filter_ui.log 23.01.2006 15:36 429 datFind.bat --------------------------------------------------------------------- LOG 2: Datentr„ger in Laufwerk C: ist Windoof-XP Volumeseriennummer: 808D-F4E9 Verzeichnis von C:\DOKUME~1\Stefan\LOKALE~1\Temp 11.05.2006 19:35 63.598 WcesView.log 11.05.2006 19:20 23.507 BWInstall.log 11.05.2006 18:40 917.504 MFPL7014.DLL 11.05.2006 18:39 408 WCESCOMM.LOG 11.05.2006 16:37 207.688 java_install_reg.log 11.05.2006 16:12 213 GLG6.tmp 11.05.2006 16:12 34.304 GLK4.tmp 11.05.2006 16:12 164.864 GLC3.tmp 11.05.2006 15:58 16.384 ~DF55B1.tmp 11.05.2006 15:41 213 GLG5.tmp 11.05.2006 15:41 34.304 GLK3.tmp 11.05.2006 15:41 164.864 GLC2.tmp 11.05.2006 13:48 596 hpzcoi01.log 11.05.2006 13:47 596 hpzcoi00.log 11.05.2006 13:16 213 GLGC.tmp 11.05.2006 13:15 34.304 GLKA.tmp 11.05.2006 13:15 164.864 GLC9.tmp 11.05.2006 12:42 124 GLG4.tmp 11.05.2006 12:42 34.304 GLK2.tmp 11.05.2006 12:42 164.864 GLC1.tmp 11.05.2006 09:25 53.248 unwise.exe 11.05.2006 09:01 422 MSIb14dd.LOG 11.05.2006 08:58 422 MSIb14dc.LOG 01.11.2005 05:09 344.064 eauninstall.exe ----------------------------------------------------------------- LOG 3 Datentr„ger in Laufwerk C: ist Windoof-XP Volumeseriennummer: 808D-F4E9 Verzeichnis von C:\WINDOWS 11.05.2006 19:20 4.201 fsbwinst.log 11.05.2006 19:18 31 warhead.ini 11.05.2006 19:18 1.636 Q-Klez.log 11.05.2006 18:40 0 0.log 11.05.2006 18:40 159 wiadebug.log 11.05.2006 18:39 1.716.385 WindowsUpdate.log 11.05.2006 18:39 50 wiaservc.log 11.05.2006 18:39 2.048 bootstat.dat 11.05.2006 17:59 32.622 SchedLgU.Txt 11.05.2006 13:48 5.805 WGA.log 11.05.2006 13:48 518.054 setupapi.log 11.05.2006 09:05 4.578 rdt.ini 10.05.2006 09:41 229 NeroDigital.ini 20.04.2006 20:04 34 cdplayer.ini 20.04.2006 10:57 1.193 Alltag.ini 26.03.2006 21:07 41.582 DirectX.log 22.03.2006 17:53 3.612 mozver.dat 19.02.2006 15:07 442 win.ini 24.01.2006 17:13 25.601 CSTBox.INI 23.01.2006 15:36 429 datFind.bat 20.01.2006 15:00 14 dswplug.ini 19.01.2006 20:58 7.469 wmsetup.log 19.01.2006 12:52 720.896 iun6002ev.exe 17.01.2006 13:26 80.943 ntdtcsetup.log 17.01.2006 13:26 20.848 ocmsn.log 17.01.2006 13:26 19.575 msgsocm.log 17.01.2006 13:26 192.458 ocgen.log 17.01.2006 13:26 1.917 imsins.log 17.01.2006 13:26 59.818 iis6.log 17.01.2006 13:26 151.431 tsoc.log 17.01.2006 13:26 136.140 comsetup.log 17.01.2006 13:26 383.067 FaxSetup.log 10.01.2006 14:37 2.510 Microsoft.MIF 10.01.2006 14:37 2.464 $_hpcst$.hpc 01.01.2006 19:34 189.940 setupact.log ---------------------------------------------------------------- LOG 4 Datentr„ger in Laufwerk C: ist Windoof-XP Volumeseriennummer: 808D-F4E9 Verzeichnis von C:\ 11.05.2006 19:45 0 sys.txt 11.05.2006 19:43 7.403 system.txt 11.05.2006 19:42 1.661 systemtemp.txt 11.05.2006 19:35 99.287 system32.txt 11.05.2006 18:39 1.610.612.736 pagefile.sys 11.05.2006 16:06 266.529 hpfr3600.log 23.01.2006 15:36 429 datFind.bat 12.11.2005 20:06 1.389 dvdfabexpress_burn.log ---------------------------------------------------- zuguter letzt f-secure LOG 05/11/06 19:21:44 [Info]: BlackLight Engine 1.0.36 initialized 05/11/06 19:21:44 [Info]: OS: 5.1 build 2600 (Service Pack 2) 05/11/06 19:21:44 [Note]: 7019 4 05/11/06 19:21:44 [Note]: 7005 0 05/11/06 19:21:53 [Note]: 7006 0 05/11/06 19:21:53 [Note]: 7011 272 05/11/06 19:21:53 [Note]: 7026 0 05/11/06 19:21:53 [Note]: 7026 0 05/11/06 19:21:58 [Note]: FSRAW library version 1.7.1015 05/11/06 19:22:22 [Info]: Hidden file: c:\Programme\Hewlett-Packard\Digital Imaging\bin\DestTest.exe 05/11/06 19:22:22 [Note]: 10002 1 05/11/06 19:22:50 [Info]: Hidden file: c:\WINDOWS\system32\pppcgm.exe 05/11/06 19:22:50 [Note]: 10002 1 05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\dmvop.exe 05/11/06 19:22:51 [Note]: 7002 32 05/11/06 19:22:51 [Note]: 7003 1 05/11/06 19:22:51 [Note]: 10002 1 05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\filesafer23.exe 05/11/06 19:22:51 [Note]: 10002 1 05/11/06 19:22:51 [Info]: Hidden file: c:\WINDOWS\system32\howiper.exe 05/11/06 19:22:51 [Note]: 10002 1 05/11/06 19:22:53 [Info]: Hidden file: c:\WINDOWS\system32\csmsa.exe 05/11/06 19:22:53 [Note]: 7002 32 05/11/06 19:22:53 [Note]: 7003 1 05/11/06 19:22:53 [Note]: 10002 1 05/11/06 19:23:24 [Info]: Hidden file: c:\WINDOWS\system32\wbem\wbemtest.exe 05/11/06 19:23:24 [Note]: 10002 1 05/11/06 19:25:18 [Note]: 7007 0 -------------------------------------------------- In der Hoffnung dass dir das bei meinem Problem weiterhilft verbleibe ich dankend. Liebe Grüße Michael Ps.: Ist mein System nun sauber, oder hast du schon was feststellen können, mich würde mal interessieren wie man seinen PC noch besser schützen kann. Firewall und alles ist an. --------------------------------------------------- Hi Sabina, habe eben nochmal etwas gecheckt. Dabei fiel mir auf dass Tuneup 2004 auch nicht mehr richtig läuft. Beim Disccleaner kommt nach einer Weile die Meldung " Zugriffsverletzung bei Adresse 00BA5903, Lesen von Adresse 6578653E " Der Tuneup Registry Cleaner dauert nun auch 2 Minueten bis der Scan beginnt. Dies war alles vorher ohne Probs und funzte ruckzuck. Gruß Michael ---------------------------------------------------- Hi Sabina, habe das Posting eben nochmal bearbeitet, da ich mit meinem Virenscanner in C:\Windows\....\mediacodec-v4.290.exe das Trojanische Pferd "TR/Drop.Zlob.Fk.2.A" gefunden und eliminiert habe. Dieser Beitrag wurde am 11.05.2006 um 21:08 Uhr von Kalumba editiert.
|
|
|
||
12.05.2006, 03:53
Ehrenmitglied
Beiträge: 29434 |
#4
Kalumba
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .. c:\WINDOWS\system32\pppcgm.exe c:\WINDOWS\system32\dmvop.exe c:\WINDOWS\system32\filesafer23.exe c:\WINDOWS\system32\howiper.exe c:\WINDOWS\system32\csmsa.exe c:\WINDOWS\system32\ixpov.dll c:\WINDOWS\rdt.ini PC neustarten öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O1 - Hosts: localhost 127.0.0.1 O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing) O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{726827D8-2310-49A3-8BE0-CB8F315A6B83}: NameServer = 85.255.115.61,85.255.112.97 O17 - HKLM\System\CCS\Services\Tcpip\..\{9F390E5A-69FD-4C2D-9A53-4CE8BACCC89D}: NameServer = 85.255.115.61,85.255.112.97 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 85.255.115.61,85.255.112.97 ** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen. ** deinstalliere..loesche UnSpyPC ------------------------------------------------------------------- ** boote wieder in den Normalmodus ** du musst eine neue Internetverbindung erstellen ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** Download FixWareout: http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt ** scanne mit ewido und poste den sanreport http://virus-protect.org/ewido.html ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2006, 10:26
Member
Themenstarter Beiträge: 17 |
#5
Hallo Sabina,
habe alles ausgeführt, bis auf das Löschen von UnSpyPc, das hatte ich gestern schon gemacht, hoffentlich richtig!!!! Das booten im abgesicherten Modus funktionierte bei meinem PC- Siemens Scaleo nicht richtig, zwar kam eine Maske wo ich zwischen HDD und Cd-Rom wechseln konnte, aber die Kiste bootete dann normal hoch als ich auf HDD drückte. Es kam auch keine andere Meldung. Ich habe also die fixme.reg im normalmodus ausgeführt !!!!!!! ------------------------------------------------------------------------------------ HIER IST DER FixWAREOUT-Report Fixwareout ver 1.003 Last edited 04/26/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is lagitamate »»»»» Search by size and names... * csr.exe C:\WINDOWS\System32\CSFOL.EXE »»»»» Misc files * thequicklink C:\WINDOWS\System32\IXPOV.DLL »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\CSFOL.EXE 51.253 2006-05-11 C:\WINDOWS\SYSTEM32\DMASG.EXE 44.053 2005-04-07 ------------------------------------------------------------------------------ HIER nochaml ein HIJack-LOG Logfile of HijackThis v1.99.1 Scan saved at 09:58:04, on 12.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\WINDOWS\system32\Ati2evxx.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wdfmgr.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE E:\Brennen_WICHTIG\HijackThis\HijackThis.exe O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [dmlfs.exe] C:\WINDOWS\system32\dmlfs.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312 O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 192.168.178.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe ----------------------------------------------------------------------------- Hier der LOG von EWIDO Ich habe aber nicht online gescannt, sondern den Scanner installiert !!! --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 10:25:48, 12.05.2006 + Report-Checksumme: A8A28AFF + Scanergebnis: [232] VM_01310000 -> Trojan.Pakes : Fehler beim Säubern [3776] VM_00A20000 -> Trojan.Pakes : Fehler beim Säubern C:\!KillBox\ixpov.dll -> Adware.SBSoft : Gesäubert mit Backup C:\!KillBox\pppcgm.exe -> Adware.Msnagent : Gesäubert mit Backup :mozilla.14:C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Mozilla\Firefox\Profiles\b5dihzhg.default\cookies.txt.old -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@e-2dj6wfkiogazcep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup C:\Dokumente und Einstellungen\TEST\Cookies\test@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup :mozilla.8:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.9:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.10:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.13:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.15:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.20:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.22:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.24:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup :mozilla.28:C:\Dokumente und Einstellungen\Tina\Anwendungsdaten\Mozilla\Firefox\Profiles\vyp5juj8.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@bfast[1].txt -> TrackingCookie.Bfast : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@e-2dj6wfkiqkd5wgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@e-2dj6wfmiwidzado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup C:\Dokumente und Einstellungen\Tina\Cookies\tina@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert mit Backup C:\WINDOWS\system32\csfol.exe -> Downloader.Agent.uj : Gesäubert mit Backup C:\WINDOWS\system32\ixpov.dll -> Adware.SBSoft : Gesäubert mit Backup Adware.ISearch : Gesäubert mit Backup ::Report Ende -------------------------------------------------------------------------- SABINA ich hoffe das wars nun??? Wie kann ich in Zukunft mein System besser vor solch einem Schund schützen?? In Erwartung auf deine Antwort verbleibe ich mit einem dankenden Gruß Michael |
|
|
||
12.05.2006, 10:34
Ehrenmitglied
Beiträge: 29434 |
#6
1.
fixe mit HijackThis: (noch nicht neustarten) Zitat O4 - HKLM\..\Run: [dmlfs.exe] C:\WINDOWS\system32\dmlfs.exe------------------------------------ 2. loesche mit der Killbox: C:\WINDOWS\system32\dmlfs.exe 3. PC neustarten 4. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 5. scanne noch mal mit ewido (poste den report) 6. poste das log vom Silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2006, 11:37
Member
Themenstarter Beiträge: 17 |
#7
Hallo Sabina,
zu 1. ist alles gemacht bis auf O4.........dmlfs.exe , da diese in HiJack nicht mehr vorhanden war. zu 2. Killbox fand auch diese Datei nicht mehr . Does not exist. zu 3. = gemacht zu 4. hmmm ich hatte die Systemherstellung bereits zu Beginn der Installation von Winddoof deaktiviert. Habe es nun aktiviert ----------------------------------------------------------------------------- Adaware kann ich noch immer nicht installieren, da kommt ein Kasten mit der Meldung aaw.... hat ein Problem festgestellt und muss beendet werden !!! --------------------------------------------------------------------------- --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 11:32:24, 12.05.2006 + Report-Checksumme: 9AB7ABF2 + Scanergebnis: C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup ::Report Ende ------------------------------------------------------- Silent Runner die Datei SilentRunner.vbs liegt mir vor. Beim Doppelklick auf diese Datei, kommt die Meldung " Der Zugriff auf Windows Script Host wurde für diesen PC deaktiviert. Wenden Sie sich an Ihren Admin...." ---------------------------------------------------- Hier nochmal ein HiJack LOG Logfile of HijackThis v1.99.1 Scan saved at 11:38:22, on 12.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\ewido anti-malware\securitysuite.exe C:\WINDOWS\system32\NOTEPAD.EXE E:\Brennen_WICHTIG\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312 O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 192.168.178.1 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe ------------------------------------------------------------- Gruß Michael P.s.: Es wird zwar überall Stefan angezeigt, denn der PC gehört meinem Bruder |
|
|
||
12.05.2006, 12:15
Ehrenmitglied
Beiträge: 29434 |
#8
wenn du xpantispy installiert hast, aendere die host-Einstellung dort
oder Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten) dann poste das Silentruner-Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2006, 12:37
Member
Themenstarter Beiträge: 17 |
#9
Hmmm
xpantispy iss installiert. Habe das in der Registry gefunden, aber einen Wert 1 zu setzen geht nicht, dann kommt kein gültiger Dwort !!!!! Siehe angefügte Datei. Bin wohl doch zu doof Gruß Michael Anhang: enabled.png
|
|
|
||
12.05.2006, 12:48
Ehrenmitglied
Beiträge: 29434 |
||
|
||
12.05.2006, 13:46
Member
Themenstarter Beiträge: 17 |
#11
Hi,
tja ichhabe aber in der Registry nun schon was verändert und ich weiß nicht mehr was vorher bei enabled stand. Gruß Michael -------------------------- So habe nun das LOG vom Silent Runner. ----------------------------------------------- "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "H/PC Connection Agent" = ""F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "nTrayFw" = "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" ["NVIDIA Corporation"] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided) -> {HKLM...CLSID} = "HelperObject Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll" ["TechSmith Corporation"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"] "{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt" -> {HKLM...CLSID} = "SnagIt" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"] "{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension" -> {HKLM...CLSID} = "SnagItShellExt Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {HKLM...CLSID} = "AlcoholShellEx" \InProcServer32\(Default) = "E:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"] "{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension" -> {HKLM...CLSID} = "WinAceDrag-Drop Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension" -> {HKLM...CLSID} = "WinAceProperty Sheet Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {HKLM...CLSID} = "IMMenuShellExt Class" \InProcServer32\(Default) = "C:\PROGRA~1\INCRED~1\bin\ImShExt.dll" ["IncrediMail, Ltd."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}" -> {HKLM...CLSID} = "SnagItShellExt Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] SnagItMainShellExt\(Default) = "{CF74B903-3389-469c-B3B6-0204D204FCBD}" -> {HKLM...CLSID} = "SnagItShellExt Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] ZFAdd\(Default) = "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp" Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 15, 31 %SystemRoot%\system32\mswsock.dll [MS], 16 - 18, 21 - 30 %SystemRoot%\system32\rsvpsp.dll [MS], 19 - 20 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKCU\Software\Microsoft\Internet Explorer\Extensions\ {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01}\ "ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen" "MenuText" = "Unterstützung für xp-AntiSpy" "Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data] HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}" -> {HKLM...CLSID} = "Java Plug-in 1.5.0_04" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."] {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\ "ButtonText" = "Mobilen Favoriten erstellen" "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "F:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS] {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\ "MenuText" = "Mobilen Favoriten erstellen..." "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "F:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS] {AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\ "ButtonText" = "AIM" "Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ Missing lines (compared with English-language version): HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"] ForceWare Intelligent Application Manager (IAM), ForceWare Intelligent Application Manager (IAM), "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe" [empty string] ForceWare IP service, nSvcIp, "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe" ["NVIDIA"] ForceWare user log service, nSvcLog, "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe" ["NVIDIA"] Forceware Web Interface, ForcewareWebInterface, ""E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice" ["Apache Software Foundation"] GEARSecurity, GEARSecurity, "SYSTEM32\GEARSEC.EXE" ["GEAR Software"] Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = "hpzsnt08.dll" ["HP"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 31 seconds, including 18 seconds for message boxes) ------------------------------------------------------------ Aber das mit der Registry "enabled" habe ich noch nicht gelöst Ciao Miachel Dieser Beitrag wurde am 12.05.2006 um 13:56 Uhr von Kalumba editiert.
|
|
|
||
12.05.2006, 14:28
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat REGEDIT4Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry beifuegen. PC neustarten poste das neue Log vom Silentrunner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2006, 15:43
Member
Themenstarter Beiträge: 17 |
#13
Hi Sabina,
habs gemacht. Ist das die richtige Silent Runner Log-Datei?? -------------------------------------------------------- "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "H/PC Connection Agent" = ""F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] "nTrayFw" = "E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe" ["NVIDIA Corporation"] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {00C6482D-C502-44C8-8409-FCE54AD9C208}\(Default) = (no title provided) -> {HKLM...CLSID} = "HelperObject Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll" ["TechSmith Corporation"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"] "{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt" -> {HKLM...CLSID} = "SnagIt" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll" ["TechSmith Corporation"] "{CF74B903-3389-469c-B3B6-0204D204FCBD}" = "SnagIt Shell Extension" -> {HKLM...CLSID} = "SnagItShellExt Class" \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 7\SnagItShellExt.dll" ["TechSmith Corporation"] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {HKLM...CLSID} = "AlcoholShellEx" \InProcServer32\(Default) = "E:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"] "{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 DragDrop Shell Extension" -> {HKLM...CLSID} = "WinAceDrag-Drop Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Context Menu Shell Extension" -> {HKLM...CLSID} = "WinAceContext Menu (Add) Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.6 Property Sheet Shell Extension" -> {HKLM...CLSID} = "WinAceProperty Sheet Extension" \InProcServer32\(Default) = "E:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] ---------------------------- Gruü Michael |
|
|
||
12.05.2006, 16:12
Ehrenmitglied
Beiträge: 29434 |
#14
nun gut, es ist alles wieder in Ordung
wenn es noch Probleme geben sollte, melde dich, ich lasse den Thread auf. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.05.2006, 16:47
Member
Themenstarter Beiträge: 17 |
#15
Huhu Sabina.
DU HAST ES GESCHAFFT. VIELEN VIELEN DANK. Eins ist sicher beim nächsten Problem melde ich mich wieder, denn das ist ein Service von aller erster Güte. Eine Frage bitte noch. Welche Präventivmassnahmen kann ich in der Zukunft vornehmen um einiger maßen geschützt zu sein??? Liebe Grüße Michael ------------------------------------------------------------------ ICH BITTE NOCHMAL UM HILFE. Soeben 14.5.06 hatte ich folgende Fehlermeldung auf dem Desktop " Das System wird nach einem schwerwiegenden fehler wieder ausgeführt" Ich würde auch gerne Ad-Aware wieder installieren, aber es ghet nicht Gruß Michael ------------------------------------------------------------------------- Hmm habe eben nochmal versucht Adaware zu installieren und dann kam wieder dass hier -->>> siehe Anlage. Gruß Michael Anhang: Adaware.png Dieser Beitrag wurde am 14.05.2006 um 20:15 Uhr von Kalumba editiert.
|
|
|
||
habe heute ein Update gemacht und aufeinmal war mein IE-Explorer verändert und ich hatte auf einmal eine Toolbar mit dabei.
Desweiteren brach mein Ad-Adware ab und ich hatte es deinstalliert und beim neuinstallieren bricht das Programm ab. Auch mein IE-Explorer spielt seitdem verrückt.
Ich füge mal meine Hi-JackThis Auswertung bei.
Hi Jack habe ich hier kennengelernt, da einige mehr dieses Problem mit UnSpy haben (hatten), aber es scheint jedesmal woanders zu klemmen.
Ich bin leider kein PC-Spezialist und komme absolut nicht weiter.
Was mir noch aufgefallen ist, dass der Internet-Explorer total spinnt und zwar bei Google z.b. fährt er falsche Seiten an , oder er sagt mir die IEExplorer.exe hat einen Fehler verursacht und der IE schaltet sich nun ab.
Ich bin für jede Hilfe dankbar.
Gruß Michael
-----------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 16:21:12, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Brennen_WICHTIG\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nTrayFw] E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyPoker.net\partypokernet.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F56CD8CD-E5F3-48CF-BE44-DA45265BCD01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127159514312
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/eng/words_2_0_0_38.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-983219421AEF} (GameDesire 1Player Word Games) - http://67.15.101.3/g_bin/eng/wordssingle_2_0_0_36.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{726827D8-2310-49A3-8BE0-CB8F315A6B83}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F390E5A-69FD-4C2D-9A53-4CE8BACCC89D}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC531497-478C-4DEB-8DAA-8BD59DC4E533}: NameServer = 85.255.115.61,85.255.112.97
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
-----------------------------------------------------------
Habe noch was vergessen.
Spybot hatte ich noch installieren können.
Der Scan dauerte fast 3 Stunden und er hatte auch einen infizierten Reg-Schlüssel entdeckt indem auch UnSpyPc vorhanden war., welchen ich dann mit Spybot gekillt habe.
Das Programm UnSpyPc habe ich deinstalliert und den Ordner manuell danach gelöscht.
Gruß Michael