Beim Start blauer Bildschirm / Es öffnen sich immer Popups |
||
---|---|---|
#0
| ||
02.06.2006, 12:14
...neu hier
Beiträge: 4 |
||
|
||
02.06.2006, 13:26
Ehrenmitglied
Beiträge: 29434 |
#2
Felixibus
1. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINNT\rundll32.exe poste den bericht ---------------------------------------------------------------------------- 2. Look2Me-Destroyer V1.0.5 anwenden (poste den scanreport) http://virus-protect.org/l2mfix.html 3. stelle den CleanUp genauso ein, wie hier angegeben: ..dann den Rechner neustarten ! http://virus-protect.org/cleanup.html 4. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.06.2006, 15:59
...neu hier
Themenstarter Beiträge: 4 |
#3
1.
AntiVir 6.34.1.37 06.02.2006 Heuristic/Crypted.Modified Authentium 4.93.8 06.02.2006 W32/Backdoor.AMY Avast 4.7.844.0 06.02.2006 Win32:Trojan-gen. {UPX!} AVG 386 06.01.2006 BackDoor.Delf.16.BF BitDefender 7.2 06.02.2006 Backdoor.Delf.TP CAT-QuickHeal 8.00 06.01.2006 no virus found ClamAV devel-20060426 06.02.2006 Trojan.W32.Graybird.AO DrWeb 4.33 06.02.2006 BackDoor.Gezi eTrust-InoculateIT 23.72.25 06.02.2006 Win32/Pigeon.Variant!Trojan eTrust-Vet 12.6.2240 06.02.2006 no virus found Ewido 3.5 06.02.2006 Dropper.Delf.gh Fortinet 2.77.0.0 06.01.2006 W32/Delf.TP!tr.bdr F-Prot 3.16f 06.02.2006 security risk named W32/Backdoor.AMY Ikarus 0.2.65.0 06.02.2006 no virus found Kaspersky 4.0.2.24 06.02.2006 Backdoor.Win32.Delf.tp McAfee 4775 06.01.2006 BackDoor-AWQ.b Microsoft 1.1441 06.02.2006 Backdoor:Win32/Delf.TP NOD32v2 1.1575 06.02.2006 Win32/Hupigon.NB Norman 5.90.17 06.02.2006 W32/Malware Panda 9.0.0.4 06.01.2006 Suspicious file Sophos 4.05.0 06.02.2006 Troj/Delf-JF Symantec 8.0 06.02.2006 no virus found TheHacker 5.9.8.154 06.01.2006 no virus found UNA 1.83 06.01.2006 Backdoor.Delf VBA32 3.11.0 06.02.2006 suspected of Embedded.Backdoor.Win32.Hupigon.cl File size: 335764 bytes MD5: 068af32110a4612f8b887d93b2256951 SHA1: 119594224cd212550ba80ba1051b3b62df6222d1 Packers: UPX Norman SandBox: [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * Decompressing UPX. * Accesses executable file from resource section. * File length: 335764 bytes. [ Changes to filesystem ] * Deletes file C:WINDOWS undll32.exe. * Deletes existing software modules. * Creates file C:WINDOWS undll32.exe. * Creates file C:WINDOWS undll32.DLL. [ Changes to registry ] * Creates key "HKLMSystemCurrentControlSetServicesMshost Control Center". * Sets value "ImagePath"="C:WINDOWS undll32.exe" in key "HKLMSystemCurrentControlSetServicesMshost Control Center". * Sets value "DisplayName"="Mshost Control Center" in key "HKLMSystemCurrentControlSetServicesMshost Control Center". * Creates key "HKCUSoftwareMicrosoftInternet Connection Wizard". * Sets value "Completed"="" in key "HKCUSoftwareMicrosoftInternet Connection Wizard". * Sets value "default_page_url"="about:blank" in key "HKCUSoftwareMicrosoftInternet ExplorerMain". * Sets value "First Home Page"="about:blank" in key "HKCUSoftwareMicrosoftInternet ExplorerMain". * Creates key "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel". * Sets value "Check_If_Default"="" in key "HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel". * Sets value "Check_Associations"="no" in key "HKCUSoftwareMicrosoftInternet ExplorerMain". * Sets value "Check_Associations"="no" in key "HKLMSoftwareMicrosoftInternet ExplorerMain". [ Process/window information ] * Creates a mutex Gpigeon_Shared_MUTEX. * Attempts to access service "Mshost Control Center". * Creates service "Mshost Control Center (Mshost Control Center)" as "C:WINDOWS undll32.exe". * Enumerates running processes. * Modifies other process memory. * Creates a remote thread. * Creates an event called . 2.) ook2Me-Destroyer V1.0.12 Scanning for infected files..... Scan started at 02.06.2006 16:16:11 Infected! C:\WINNT\system32\n86q0ij5e8o.dll Infected! C:\WINNT\system32\DWomExt.dll Infected! C:\WINNT\system32\ir0ul5d91.dll Infected! C:\WINNT\system32\j2l4lc3q1f.dll Infected! C:\WINNT\system32\kt4ul7h91.dll Infected! C:\WINNT\system32\kydir.dll Infected! C:\WINNT\system32\mcjdbc10.dll Infected! C:\WINNT\system32\n86q0ij5e8o.dll Infected! C:\WINNT\system32\o8660ijse8o60.dll Infected! C:\WINNT\system32\o866lijs18o6.dll Infected! C:\WINNT\system32\r0p8la7u1d.dll Infected! C:\WINNT\System32\guard.tmp Attempting to delete infected files... Attempting to delete: C:\WINNT\system32\n86q0ij5e8o.dll C:\WINNT\system32\n86q0ij5e8o.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\DWomExt.dll C:\WINNT\system32\DWomExt.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\ir0ul5d91.dll C:\WINNT\system32\ir0ul5d91.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\j2l4lc3q1f.dll C:\WINNT\system32\j2l4lc3q1f.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\kt4ul7h91.dll C:\WINNT\system32\kt4ul7h91.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\kydir.dll C:\WINNT\system32\kydir.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\mcjdbc10.dll C:\WINNT\system32\mcjdbc10.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\n86q0ij5e8o.dll C:\WINNT\system32\n86q0ij5e8o.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\o8660ijse8o60.dll C:\WINNT\system32\o8660ijse8o60.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\o866lijs18o6.dll C:\WINNT\system32\o866lijs18o6.dll Deleted successfully! Attempting to delete: C:\WINNT\system32\r0p8la7u1d.dll C:\WINNT\system32\r0p8la7u1d.dll Deleted successfully! Attempting to delete: C:\WINNT\System32\guard.tmp C:\WINNT\System32\guard.tmp Deleted successfully! Making registry repairs. Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellServiceObjectDelayLoad Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Uninstall Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{174A1233-F929-42A8-8F95-1D47EBA99318}" HKCR\Clsid\{174A1233-F929-42A8-8F95-1D47EBA99318} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{F4E3EDB6-8F9F-464A-8AE8-F6E5AC567745}" HKCR\Clsid\{F4E3EDB6-8F9F-464A-8AE8-F6E5AC567745} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{21A0C190-8CC6-4D85-98CA-F69A70C314A0}" HKCR\Clsid\{21A0C190-8CC6-4D85-98CA-F69A70C314A0} Restoring Windows certificates. Replaced hosts file with default windows hosts file Restoring SeDebugPrivilege for Administratoren - Succeeded zu 4.) 1.textdatei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\WINNT\system32 01.06.2006 15:16 24.109.544 COMCT32LOG.DLL 29.04.2006 23:07 480 ws848151.ocx 17.04.2006 12:23 98.256 FNTCACHE.DAT 07.04.2006 10:32 1.764 safe.tlb 25.02.2006 18:38 0 d3zp.exe 02.02.2006 19:21 2.158 ssmute.ini 02.02.2006 19:14 0 sglso.log 2. textdatei Datentr„gernummer: 6461-30D1 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 02.06.2006 16:29 16.384 ~DF6629.tmp 02.06.2006 16:29 512 ~DF4263.tmp 02.06.2006 16:29 16.384 ~DF425B.tmp 02.06.2006 16:24 16.384 ~DF4074.tmp 02.06.2006 16:24 16.384 ~DF4084.tmp 02.06.2006 16:24 16.384 ~DF4064.tmp 02.06.2006 16:24 16.384 ~DF4053.tmp 02.06.2006 16:22 16.384 ~DF53DA.tmp 02.06.2006 16:21 16.384 ~DF18A2.tmp 9 Datei(en) 131.584 Bytes 0 Verzeichnis(se), 54.123.126.784 Bytes frei 3. textdatei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\WINNT 02.06.2006 16:21 649.728 rundll32.DLL 02.06.2006 13:56 32.626 SchedLgU.Txt 02.06.2006 12:07 29.482 ntbtlog.txt 01.06.2006 20:10 1.006.060 ShellIconCache 01.06.2006 14:49 250 vwbwh.dll 31.05.2006 12:56 39.424 mtuninst.exe 31.05.2006 12:56 1.124.169 setupapi.log 31.05.2006 12:55 32.768 unstall.exe 31.05.2006 12:55 193 mm06y.ini 31.05.2006 12:55 24.576 up9.exe 31.05.2006 12:55 53 vowpce.dat 31.05.2006 12:54 2 tempf.txt 31.05.2006 12:50 13.165 pre.exe 26.05.2006 16:33 54.156 QTFont.qfn 26.05.2006 12:50 204 cdplayer.ini 26.05.2006 11:51 3.501 mozver.dat 17.04.2006 16:15 66.351 War3Unin.dat 17.04.2006 13:57 27 WS_FTP.INI 12.04.2006 19:41 114.295 wmsetup.log 12.04.2006 19:41 316.640 WMSysPr9.prx 11.04.2006 14:29 354 win.ini 4. textdatei Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\ 02.06.2006 16:38 0 sys.txt 02.06.2006 16:38 11.916 system.txt 02.06.2006 16:38 719 systemtemp.txt 02.06.2006 16:38 95.086 system32.txt 02.06.2006 16:33 1.960 c.txt 02.06.2006 16:33 11.916 windows.txt 02.06.2006 16:33 719 temp.txt 02.06.2006 16:20 805.306.368 pagefile.sys 31.05.2006 12:56 29.251 mc-110-12-0000228.exe 29.04.2006 23:07 480 os930559.bin Dieser Beitrag wurde am 02.06.2006 um 16:26 Uhr von Felixibus editiert.
|
|
|
||
02.06.2006, 16:33
Ehrenmitglied
Beiträge: 29434 |
#4
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Mshost Control Center in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.06.2006, 16:39
Ehrenmitglied
Beiträge: 29434 |
#5
1.
Start -> Ausführen --> schreib rein: notepad -- klicke OK. oder , falls das Kommando nicht stimmt, öffne den Editor.... Dann kopiere folgenden Text rein: Zitat sc stop Mshost Control CenterAuf dem Desktop abspeichern [Gebe bei Dateityp 'Alle Dateien' an.] als delete.bat --> Doppeltklicken ------------------------------------------------------------------------- 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten * poste das log vom Avenger ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =PC neustarten * #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ** poste noch mal die 4 Logs von datfindbat + siehe oben das log von Mshost Control Center __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.06.2006, 12:38
...neu hier
Themenstarter Beiträge: 4 |
#6
Bobbi Flekman
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 03.06.2006 12:50:42 for strings: ; 'mshost control center' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000] "Service"="Mshost Control Center" "DeviceDesc"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000\Control] "ActiveService"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center] "DisplayName"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Mshost Control Center\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000] "Service"="Mshost Control Center" "DeviceDesc"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center] "DisplayName"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Mshost Control Center\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000] "Service"="Mshost Control Center" "DeviceDesc"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSHOST_CONTROL_CENTER\0000\Control] "ActiveService"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center] "DisplayName"="Mshost Control Center" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mshost Control Center\Enum] ; End Of The Log... AVENGER LOG Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\axxjtghe ******************* Script file located at: \??\C:\WINNT\System32\gqqsaxvs.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINNT\rundll32.exe deleted successfully. File C:\WINNT\rundll32.DLL deleted successfully. File C:\WINNT\unstall.exe deleted successfully. File C:\WINNT\mm06y.ini deleted successfully. File C:\WINNT\up9.exe deleted successfully. File C:\WINNT\vowpce.dat deleted successfully. File C:\WINNT\tempf.txt deleted successfully. File C:\WINNT\pre.exe deleted successfully. File C:\mc-110-12-0000228.exe deleted successfully. File C:\WINNT\system32\safe.tlb deleted successfully. File C:\WINNT\system32\d3zp.exe deleted successfully. Completed script processing. ******************* Finished! Terminate. DATFINDBAT 1. Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\WINNT\system32 02.06.2006 21:04 24.113.757 COMCT32LOG.DLL 29.04.2006 23:07 480 ws848151.ocx 17.04.2006 12:23 98.256 FNTCACHE.DAT 02.02.2006 19:21 2.158 ssmute.ini 02.02.2006 19:14 0 sglso.log 2. Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp 03.06.2006 13:04 16.384 ~DF564.tmp 03.06.2006 13:04 512 ~DFEFF4.tmp 03.06.2006 13:04 16.384 ~DFEFE9.tmp 03.06.2006 12:57 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}10437.html 03.06.2006 12:56 16.384 ~DFD195.tmp 03.06.2006 12:56 16.384 ~DF756D.tmp 03.06.2006 12:47 16.384 ~DF4CA3.tmp 03.06.2006 12:47 16.384 ~DF3431.tmp 02.06.2006 17:46 412 jusched.log 9 Datei(en) 100.211 Bytes 0 Verzeichnis(se), 54.137.352.192 Bytes frei 3. Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\WINNT 03.06.2006 13:02 32.626 SchedLgU.Txt 03.06.2006 13:02 1.006.502 ShellIconCache 02.06.2006 12:07 29.482 ntbtlog.txt 01.06.2006 14:49 250 vwbwh.dll 31.05.2006 12:56 39.424 mtuninst.exe 31.05.2006 12:56 1.124.169 setupapi.log 26.05.2006 16:33 54.156 QTFont.qfn 26.05.2006 12:50 204 cdplayer.ini 26.05.2006 11:51 3.501 mozver.dat 17.04.2006 16:15 66.351 War3Unin.dat 17.04.2006 13:57 27 WS_FTP.INI 12.04.2006 19:41 114.295 wmsetup.log 12.04.2006 19:41 316.640 WMSysPr9.prx 11.04.2006 14:29 354 win.ini 4. Datentr„ger in Laufwerk C: hat keine Bezeichnung. Datentr„gernummer: 6461-30D1 Verzeichnis von C:\ 03.06.2006 13:09 0 sys.txt 03.06.2006 13:09 11.511 system.txt 03.06.2006 13:08 767 systemtemp.txt 03.06.2006 13:08 94.988 system32.txt 03.06.2006 13:03 805.306.368 pagefile.sys 03.06.2006 12:55 2.058 avenger.txt 02.06.2006 16:33 1.960 c.txt 02.06.2006 16:33 11.916 windows.txt 02.06.2006 16:33 719 temp.txt 29.04.2006 23:07 480 os930559.bin 26.12.2005 15:18 827 wtvClient.ini Wie es scheint geht wieder alles und es öffnen sich keine popups mehr. Lediglich Antivirus gibt mir bei Neustart noch ne Meldung das noch was drauf ist, irgendwie "nsag.dll" oder so. Aber vielen vielen Dank fürs Richten DAAAANKE Felix Dieser Beitrag wurde am 03.06.2006 um 12:57 Uhr von Felixibus editiert.
|
|
|
||
03.06.2006, 23:41
Ehrenmitglied
Beiträge: 29434 |
#7
**
gehe in die Registry Start - Ausfuehren - regedit * loeschen: "Completed"="" in key HKEY_CURRENT_USER\Software\Microsoft\Internet\Connection Wizard *Loeschen: "default_page_url"="about:blank" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main *Loeschen: "First Home Page"="about:blank" HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main * Loeschen: "Check_If_Default"="" in key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel * HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main -> "Check_Associations"="no"aendern in "yes" * HKEY_LOCAL_MACHINE\Software\MicrosoftInternet Explorer\Main -> "Check_Associations"="no" aendern in "yes" ------------------------------------------------------------------------------------------ Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4kopiere in den Avenger Zitat Files to delete:klicke die gruene Ampel ** Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken -------------------------------------------- ** boote wieder in den Normalmodus ** arbeite smitfraud.fix ab und poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html ** dr.web http://virus-protect.org/cureit.html Poste bitte das, was drweb gefunden hat. Dazu unter Start - Ausfuehren %userprofile%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte posten. oder: Unter Menüpunkt Ansicht bei Dr. Web kann der Prüfbericht gespeichert werden als .txt Datei ablegen und dann abkopieren. --------------------------------------------------------------- ** scanne mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hab seit kurzen irgend einen Virus drauf. Wenn ich Windows starte kommt gar nichts nur der blaue Hintergrund. Ich kann Programme wie den Internetexplorer nur über den Taskmanager über "neuer Task" ausführen. Es gibt keine Taskleiste und keine Symbole.....
Hiermal meine Hijackthis.log:
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\rundll32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: Shell=Explor
O2 - BHO: (no name) - {958A41A2-9ADF-8C71-90A1-94F0405926E7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {EFAEF0E4-F044-4D57-9900-1C3FF18524C9} (AV Class) - http://www.pcpitstop.com/antivirus/PitPav.cab
O20 - Winlogon Notify: URL - C:\WINNT\system32\mvr4l99q1.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Mshost Control Center - Unknown owner - C:\WINNT\rundll32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Ich hoffe jemand kann mir helfen
Mfg
Felix