Spyware eingefangen die ich nicht loswerde |
||
---|---|---|
#0
| ||
15.06.2006, 14:06
...neu hier
Beiträge: 10 |
||
|
||
15.06.2006, 15:04
Moderator
Beiträge: 7805 |
#2
Mache bitte folgendes. Fixe als erstes folgende Eintraege:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search123.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search123.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ O1 - Hosts: localhost 127.0.0.1 O4 - HKLM\..\Run: [dmkhf.exe] C:\WINDOWS\system32\dmkhf.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/289c673fc4f72849bd15/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123669131841 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123669104051 O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/2363/defaults/activex/ImageUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{43026E49-D79B-40C6-AA52-1735B0D721BF}: NameServer = 85.255.116.62,85.255.112.233 O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BE8DEF-6FF2-4F69-9F49-BCAD558DEF50}: NameServer = 85.255.116.62,85.255.112.233 Mache das bitte im abgesicherten Modus, nicht das uns der Teatimer dazwischen funkt. Danach arbeite bitte noch das aus diesem Thread ab: http://board.protecus.de/t23187.htm und poste die entsprechenden Reports/Logs. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 16:50
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo Ralf,
danke für Deine Antwort aber da ich leider ein Computer Anfänger bin und schon bei kleineren Problemen recht schnell verzweifel weiß ich nicht wirklich was ich jetzt machen soll. Was bedeutet: Einträge fixen? Was muß ich da tun? Und was danach? Gruß Oliver |
|
|
||
15.06.2006, 17:00
Ehrenmitglied
Beiträge: 29434 |
#4
Alexi
der Rechner ist boese verseucht, zum Teil auch, weil du den Netpumper u.a. geladen hast. du musst folgendes ausfuehren und die logs posten: 0. look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint http://virus-protect.org/zip/look.zip 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip 4. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier reinkopieren ------------------------------------------------- dann erklaere ich dir auch, wie man mit HijackThis fixt, da aber deine Internetverbindung korumpiert ist, will ich erst mal sehen, dass die Viren runterkommen, ehe du fixt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 17:02
Moderator
Beiträge: 7805 |
#5
Genau, das was Sabina angegeben hat und im abgesicherten Modus= http://www.bsi.bund.de/av/texte/wiederher.htm Hijackthis starten, alle Eintraege, die ich oben angegeben haben anhaken und "fix checked" druecken.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 17:04
Ehrenmitglied
Beiträge: 29434 |
#6
den 017 soll man erst fixen, wenn die viren runter sind ??? Sonst bleibt der Eintrag erhalten....... ??
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 17:34
Moderator
Beiträge: 7805 |
#7
Ist im Grunde egal, hat aber den grossen Vorteil, das man gleich Rueckmeldung bekommt, ob man den DNS Changer Trojaner erledigt hat oder nicht. Davon ausgehend, das das dieser Trojaner ist: dmkhf.exe
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 17:49
...neu hier
Themenstarter Beiträge: 10 |
#8
So hier alle meine Ergebnisse:
Hatte leider Teile schon gefixt. Sorry! Ergebnis von dat find: 1. Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\WINDOWS\system32 15.06.2006 17:06 41.216 vsconfig.xml 14.06.2006 12:13 57.384 avsda.dll 14.06.2006 11:15 2.206 wpa.dbl 05.06.2006 10:19 425.020 kilacln.exe 05.06.2006 10:18 51.284 csxgu.exe 29.03.2006 05:45 4.212 zllictbl.dat 26.03.2006 17:33 242.328 FNTCACHE.DAT 16.03.2006 11:34 71.448 zlcommdb.dll 16.03.2006 11:34 79.640 zlcomm.dll 16.03.2006 11:33 100.120 vsxml.dll 16.03.2006 11:33 382.744 vsutil.dll 16.03.2006 11:33 71.448 vsregexp.dll 16.03.2006 11:33 227.096 vspubapi.dll 16.03.2006 11:33 104.216 vsmonapi.dll 16.03.2006 11:33 141.080 vsinit.dll 16.03.2006 11:33 372.824 vsdatant.sys 16.03.2006 11:32 83.736 vsdata.dll 16.03.2006 11:16 54.960 vsutil_loc0407.dll 2. Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\DOKUME~1\Oliver\LOKALE~1\Temp 15.06.2006 17:03 16.384 ~DF9B03.tmp 15.06.2006 16:56 917.504 MFPL7014.DLL 14.06.2006 12:16 0 18u2B.tmp 12.06.2006 17:41 0 84n5.tmp 09.06.2006 19:52 122 8A56EAB7.TMP 08.06.2006 09:07 2.036 IMT18.xml 08.06.2006 09:07 798.234 IMT1A.xml 08.06.2006 09:07 426 IMT19.xml 08.06.2006 09:07 798.234 IMT17.xml 08.06.2006 09:07 2.036 IMT15.xml 08.06.2006 09:07 426 IMT16.xml 08.06.2006 09:00 426 IMT12.xml 08.06.2006 09:00 798.234 IMT13.xml 08.06.2006 09:00 2.036 IMT11.xml 08.06.2006 08:59 426 IMTF.xml 08.06.2006 08:59 798.234 IMT10.xml 08.06.2006 08:59 2.036 IMTE.xml 08.06.2006 08:59 426 IMTC.xml 08.06.2006 08:59 798.234 IMTD.xml 08.06.2006 08:59 2.036 IMTB.xml 05.06.2006 10:48 798.234 IMT40.xml 05.06.2006 10:48 2.036 IMT3E.xml 05.06.2006 10:48 426 IMT3F.xml 05.06.2006 10:47 2.036 IMT3B.xml 05.06.2006 10:47 798.234 IMT3D.xml 05.06.2006 10:47 426 IMT3C.xml 26 Datei(en) 6.538.882 Bytes 0 Verzeichnis(se), 13.912.309.760 Bytes frei 3. Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\WINDOWS 15.06.2006 17:05 0 0.log 15.06.2006 17:05 3.120 MF_C425.lfa 15.06.2006 17:05 3.120 MF_C420.lfa 15.06.2006 17:05 3.120 MF_C421.lfa 15.06.2006 17:05 159 wiadebug.log 15.06.2006 17:04 2.048 bootstat.dat 15.06.2006 17:04 32.554 SchedLgU.Txt 15.06.2006 17:04 50 wiaservc.log 15.06.2006 17:04 1.247.149 WindowsUpdate.log 13.06.2006 06:49 19.770 Run32A50.mch 13.06.2006 06:48 7.737.344 ww2000de.mdb 13.06.2006 06:47 48 wwver.txt 13.06.2006 06:47 35 A5W.INI 08.06.2006 08:08 62.543 wmsetup.log 31.05.2006 12:41 49 NeroDigital.ini 18.05.2006 16:58 3.203 tm.ini 18.05.2006 16:47 124 tdf.dii 15.05.2006 17:19 149.334 setupapi.log 15.05.2006 17:19 41 setupact.log 26.04.2006 17:50 0 OPPRIN~1.INI 05.04.2006 16:08 2.359.350 Astra GTC.bmp 05.04.2006 16:06 2.359.350 Sabine.bmp 05.04.2006 16:02 2.359.350 Babsi.bmp 27.03.2006 18:18 227 system.ini 27.03.2006 18:18 615 win.ini 25.02.2006 15:43 11.846 mozver.dat 4. Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\ 15.06.2006 17:24 6.207 system.txt 15.06.2006 17:23 1.462 systemtemp.txt 15.06.2006 17:21 107.814 system32.txt 15.06.2006 17:20 0 sys.txt 15.06.2006 17:04 268.013.568 hiberfil.sys 15.06.2006 17:04 402.653.184 pagefile.sys 27.03.2006 18:18 211 boot.ini 17.01.2005 21:28 244 tracing.log 5. Ergebnis von look: SICHERUNG Volumeseriennummer: 0C39-0A00 Verzeichnis von D:\ 20.10.2004 11:57 <DIR> EIGENE~1 Eigene Dateien 20.01.2001 03:12 <DIR> TREIBER Treiber 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 14.414.913.536 Bytes frei Datentr„ger in Laufwerk D: ist SICHERUNG Volumeseriennummer: 0C39-0A00 Verzeichnis von D:\ 20.10.2004 11:57 <DIR> EIGENE~1 Eigene Dateien 20.01.2001 03:12 <DIR> TREIBER Treiber 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 14.414.913.536 Bytes frei Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\WINDOWS\tasks 18.08.2001 14:00 65 desktop.ini 15.06.2006 17:04 6 SA.DAT 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 13.911.539.712 Bytes frei 6. Ergebins von Echo: 10)DPF???? Datentr„ger in Laufwerk C: ist WINDOWS Volumeseriennummer: 1564-190C Verzeichnis von C:\WINDOWS\Downloaded Program Files 18.04.2004 18:17 <DIR> . 18.04.2004 18:17 <DIR> .. 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 03.06.2004 10:04 524.445 RdxIE.dll 08.12.2003 13:58 3.759 swflash.inf 25.07.2002 17:05 172.032 isusweb.dll 25.07.2002 17:13 196.608 dwusplay.exe 25.07.2002 17:13 24.576 dwusplay.dll 15.03.2002 15:18 348.160 kdu_v32r.dll 08.10.2002 13:36 253.952 ywcupl.dll 09.10.2003 10:32 144 QTPlugin.inf 9 Datei(en) 1.524.838 Bytes Anzahl der angezeigten Dateien: 9 Datei(en) 1.524.838 Bytes 2 Verzeichnis(se), 13.911.490.560 Bytes frei 7. Ergebnis von Secure backlight: 06/15/06 17:35:18 [Info]: BlackLight Engine 1.0.37 initialized 06/15/06 17:35:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 06/15/06 17:35:18 [Note]: 7019 4 06/15/06 17:35:18 [Note]: 7005 0 06/15/06 17:35:41 [Note]: 7006 0 06/15/06 17:35:41 [Note]: 7011 1548 06/15/06 17:35:41 [Note]: 7026 0 06/15/06 17:35:41 [Note]: 7026 0 06/15/06 17:35:50 [Note]: FSRAW library version 1.7.1015 8. Ergebnis von Hijack this: Logfile of HijackThis v1.99.1 Scan saved at 17:41:33, on 15.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Steganos 3\Steganos3.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\SYSTEM32\notepad.exe D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{68CC63F9-791A-4735-8363-588A4277CE8C}: NameServer = 85.255.116.62 85.255.112.233 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
|
||
15.06.2006, 18:04
Moderator
Beiträge: 7805 |
#9
Loesche bitte folgende Dateien, im abgesicherten Modus) aus c:\windows\system32:
05.06.2006 10:19 425.020 kilacln.exe 05.06.2006 10:18 51.284 csxgu.exe dort bitte auch den "O17" Eintrag fixen, neu starten und ein neues Hijackthis log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.06.2006, 19:02
...neu hier
Themenstarter Beiträge: 10 |
#10
Hallo Ralf,
habe alles gelöscht und hier ist der neue Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 18:53:54, on 15.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Steganos 3\Steganos3.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\wscntfy.exe D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
|
||
15.06.2006, 19:44
Ehrenmitglied
Beiträge: 29434 |
#11
1.
deinstalliere: NetPumper 2. Download FixWareout: http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt (Hier posten ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 20:01
...neu hier
Themenstarter Beiträge: 10 |
#12
Hier der Report:
Fixwareout ver 1.003 Last edited 04/26/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gpumd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is lagitamate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\DMUPG.EXE 44.049 2005-04-07 und noch einmal Hijack this: Logfile of HijackThis v1.99.1 Scan saved at 19:55:17, on 15.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Steganos 3\Steganos3.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\Programme\Internet Explorer\iexplore.exe D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{68CC63F9-791A-4735-8363-588A4277CE8C}: NameServer = 85.255.116.62 85.255.112.233 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
|
||
15.06.2006, 20:36
Ehrenmitglied
Beiträge: 29434 |
#13
Alexi
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4Die Datei "fixme.reg" auf dem Desktop doppelklicken + der Registry beifuegen 2. scanne mit Counterspy http://virus-protect.org/counterspy.html und poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2006, 21:32
...neu hier
Themenstarter Beiträge: 10 |
#14
Habe noch nichts weiter gemacht!
Habe nur den Scan laufen lassen und hier jetzt das für mich als Laien erschreckende Ergebnis von Counter Spy: Spyware Scan Details Start Date: 15.06.2006 20:56:27 End Date: 15.06.2006 21:22:17 Total Time: 25 mins 50 secs Detected spyware AntiLeech Plugin Adware (General) more information... Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software. Status: Ignored Infected files detected c:\programme\anti-leech\alie\alie.dll c:\programme\anti-leech\alie\al2np.dll c:\programme\anti-leech\alie\alhlp.exe c:\programme\anti-leech\alie\alie.inf c:\programme\anti-leech\alie\iesetup2.exe c:\programme\anti-leech\alie_1.0.2.2\alie.dll c:\programme\anti-leech\alie_1.0.2.2\al2np.dll c:\programme\anti-leech\alie_1.0.2.2\alhlp.exe c:\programme\anti-leech\alie_1.0.2.2\alie.inf c:\programme\anti-leech\alie_1.0.2.2\iesetup2.exe Infected registry entries detected HKEY_CLASSES_ROOT\AntiLeech.ALIE.1 HKEY_CLASSES_ROOT\AntiLeech.ALIE.1\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7} HKEY_CLASSES_ROOT\AntiLeech.ALIE.1 Anti-Leech Plug-in HKEY_CLASSES_ROOT\AntiLeech.ALIE HKEY_CLASSES_ROOT\AntiLeech.ALIE\CLSID {056738EE-E15C-11D6-B876-0050BF5D85C7} HKEY_CLASSES_ROOT\AntiLeech.ALIE\CurVer AntiLeech.ALIE.1 HKEY_CLASSES_ROOT\AntiLeech.ALIE Anti-Leech Plug-in HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7} HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 C:\PROGRA~1\ANTI-L~1\ALIE_1~1.2\alie.dll HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\InprocServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\ProgID AntiLeech.ALIE.1 HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\TypeLib {056738E1-E15C-11D6-B876-0050BF5D85C7} HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7}\VersionIndependentProgID AntiLeech.ALIE HKEY_CLASSES_ROOT\CLSID\{056738EE-E15C-11D6-B876-0050BF5D85C7} Anti-Leech Plug-in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE DisplayName Anti-Leech Plugin for Internet Explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE UninstallString C:\Programme\Anti-Leech\ALIE_1.0.2.2\iesetup2.exe uninstall NetPumper Adware Bundler more information... Details: Bundles with a number of adware components. Status: Ignored Infected files detected c:\dokumente und einstellungen\oliver\anwendungsdaten\netpumper\oliver.ini Infected registry entries detected HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0} HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib Version 1.0 HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} INetscapeInterface HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0} HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\0\win32 C:\Programme\NetPumper\NetPumperNNProxy.dll HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\HELPDIR C:\Programme\NetPumper\ HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0 NetPumperNNProxy Library IESearchToolbar Toolbar more information... Details: IESearchToolbar is an Internet Explorer toolbar that hijacks the web browser search settings. Status: Ignored Infected files detected c:\windows\toolbar.exe Unclassified.Trojan.E Trojan more information... Status: Ignored Infected files detected c:\windows\system32\dktibs.exe KaZaA P2P Program more information... Details: KaZaA is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives. Status: Ignored Infected registry entries detected HKEY_CURRENT_USER\Software\Kazaa HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 1 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 2 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 3 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 4 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 5 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 6 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 7 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 8 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 9 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 10 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\ApplicationWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 1 108 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 2 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 3 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 4 60 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 5 82 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 6 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 7 60 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 8 50 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 9 80 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 10 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 11 180 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\DocumentWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 0 146 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 1 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 2 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 3 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 4 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 5 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 6 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 7 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Download Width 8 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 1 108 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 2 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 3 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 4 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 6 82 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 7 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 8 55 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 9 80 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 10 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\EverythingWidth 11 180 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 1 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 2 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 3 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 4 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 5 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 6 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 7 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 8 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 9 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 10 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 11 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\PictureWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Settings WindowPos 0,3,-32000,-32000,-1,-1,44,58,812,588 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 0 146 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 1 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 2 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 3 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 4 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 5 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 6 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 7 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\Upload Width 8 0 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 1 108 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 2 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 3 76 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 4 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 5 60 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 6 82 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 7 50 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 8 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 9 80 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 10 64 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 11 180 HKEY_CURRENT_USER\Software\Kazaa\KaZaA Lite\VideoWidth 0 151 HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserName kelchleerer HKEY_CURRENT_USER\Software\Kazaa\UserDetails Password e882b72bccfc2ad578c27b0d9b472a14 HKEY_CURRENT_USER\Software\Kazaa\UserDetails PasswordLength 6 HKEY_CURRENT_USER\Software\Kazaa\UserDetails UserDetailsSent 0 KillAndClean Rogue Security Program more information... Status: Ignored Infected registry entries detected HKEY_CURRENT_USER\Software\KillAndClean HKEY_CURRENT_USER\Software\KillAndClean\Options AutoScanOnStartup 1 HKEY_CURRENT_USER\Software\KillAndClean\Options StartWithWindows 1 HKEY_CURRENT_USER\Software\KillAndClean\Options EnableMonitor 1 |
|
|
||
15.06.2006, 21:36
Ehrenmitglied
Beiträge: 29434 |
#15
das ist nicht erschreckend, das war zu erwarten...
scanne noch mal und stelle alles auf *Remove --> Status: Deleted Zitat * nach dem Scan muss man sich entscheiden für: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe mir Spyware eingefangen und werde sie nicht mehr los!
Beim surfen werde ich auf andere Seiten umgelenkt. Das heißt ich drücke auf einen Link über den ich auf Seite A landen soll und lande aber auf einer völlig anderen Seite B.
Kann mir bitte jemand helfen? Ich habe schon mehrmals mit Ad-Aware, Spybot - Search & Destroy, cwshredder und AntiVir gescannt und die dann gefundenen Viren und Spy`s entfernt aber beim nächsten surfen (mit IE oder Firefox) habe ich wieder die gleichen Probleme!
Hier mein aktueller logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:37:24, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Steganos 3\Steganos3.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\spider.exe
D:\Eigene Dateien\Programme bei Virenbefall\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search123.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search123.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Oliver`s Surfmaschine
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Gnetmous] C:\Programme\Samsung\Samsung Optical Wheel Mouse\gnetmous.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [dmkhf.exe] C:\WINDOWS\system32\dmkhf.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit &Google suchen - C:\Dokumente und Einstellungen\Oliver\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/289c673fc4f72849bd15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123669131841
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123669104051
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/2363/defaults/activex/ImageUploader3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43026E49-D79B-40C6-AA52-1735B0D721BF}: NameServer = 85.255.116.62,85.255.112.233
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8BE8DEF-6FF2-4F69-9F49-BCAD558DEF50}: NameServer = 85.255.116.62,85.255.112.233
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe