WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup FensterThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
22.06.2006, 20:16
...neu hier
Beiträge: 5 |
||
|
||
23.06.2006, 00:16
Ehrenmitglied
Beiträge: 29434 |
#2
helpme2006
1. schreibe mir bitte, welche dll du vorfindest. (nicht anklicken !!! oder loeschen) LSPfix http://www.spychecker.com/program/lspfix.html 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.06.2006, 13:51
...neu hier
Beiträge: 10 |
#3
Hallo,
ich habe leider selbiges Problem, auch wenn ich grad noch nicht ganz weiß, wie sich das ding bei mir eingeschlichen hat.... Habe erstmal den IE blockiert, um das Problem zu unterdrücken, jetzt möchte ich es aber auch wieder loswerden. Wie auch immer...ich habe die "listen.bat" erstellt & ausgeführt, so sieht das Ergebnis aus: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 30C8-25A6 Verzeichnis von C:\WINDOWS\Temp 27.06.2006 13:26 <DIR> . 27.06.2006 13:26 <DIR> .. 11.05.2006 20:07 <DIR> bactera 27.06.2006 12:52 0 JET9366.tmp 26.06.2006 12:34 135.168 JETA0B4.tmp 25.06.2006 17:26 327.680 JETF194.tmp 27.06.2006 12:50 16.384 Perflib_Perfdata_500.dat 20.06.2006 11:30 0 win1.tmp 20.06.2006 11:44 0 win10.tmp 21.06.2006 01:07 0 win100.tmp 27.06.2006 03:34 0 win1000.tmp 27.06.2006 03:36 0 win1001.tmp 27.06.2006 03:36 0 win1002.tmp 27.06.2006 03:36 0 win1003.tmp 27.06.2006 03:38 0 win1004.tmp 27.06.2006 03:38 0 win1005.tmp 27.06.2006 03:38 0 win1006.tmp 27.06.2006 03:40 0 win1007.tmp 27.06.2006 03:40 0 win1008.tmp 27.06.2006 03:40 0 win1009.tmp 27.06.2006 03:42 0 win100A.tmp 27.06.2006 03:42 0 win100B.tmp edit............... |
|
|
||
27.06.2006, 16:08
Ehrenmitglied
Beiträge: 29434 |
#4
phipser
gehe in C:\WINDOWS\Temp und loesche ALLE 20.06.2006 11:30 0 win1.tmp 20.06.2006 11:44 0 win10.tmp 21.06.2006 01:07 0 win100.tmp 27.06.2006 03:34 0 win1000.tmp usw. usw.... dann poste die listen.bat noch einmal ----------------- Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2006, 07:45
...neu hier
Beiträge: 10 |
#5
Hi
Auch ich bin mit dem lästigen Trojaner am Kämpfen. Meine Einträge sehen wie folgt aus: Einträge aus Hijack this: Logfile of HijackThis v1.99.1 Scan saved at 07:34:55, on 30.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\KeirNet\K9\K9.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Alex\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Lamp] "C:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe" O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [BPS Security Console] C:\Programme\BulletProofSoft.com\BPS Security Console\SecCon.exe O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146128314364 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1146129019494 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Und das mit dem Listen.bat habe ich auch ausgeführt. Folgendes kommt dabei heraus: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC49-87C8 Verzeichnis von C:\WINDOWS\Temp 30.06.2006 07:19 <DIR> . 30.06.2006 07:19 <DIR> .. 27.04.2006 15:28 158 checkhw.log 27.04.2006 12:20 383 hpfpdi00.log 27.04.2006 12:20 618 hpzcon00.log 27.04.2006 12:20 417 hpzghoul00.log 27.04.2006 12:20 2'805 hpzglue00.log 27.04.2006 12:20 351 hpzpin00.log 01.06.2006 21:14 0 win1.tmp 01.06.2006 21:36 0 win10.tmp 08.06.2006 19:47 0 win100.tmp 08.06.2006 19:47 0 win101.tmp 08.06.2006 19:49 0 win102.tmp 08.06.2006 19:49 0 win103.tmp 08.06.2006 19:49 0 win104.tmp 08.06.2006 19:49 0 win105.tmp 08.06.2006 19:51 0 win106.tmp 08.06.2006 19:51 0 win107.tmp 08.06.2006 19:51 0 win108.tmp 08.06.2006 19:53 0 win109.tmp 08.06.2006 19:53 0 win10A.tmp 07.06.2006 19:55 0 win10B.tmp 07.06.2006 19:55 0 win10C.tmp 07.06.2006 19:55 0 win10D.tmp 08.06.2006 19:53 0 win10E.tmp edit 27.04.2006 15:29 420 _pnpscan.log 1106 Datei(en) 30'200 Bytes 2 Verzeichnis(se), 54'139'957'248 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC49-87C8 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC49-87C8 Verzeichnis von C:\Programme 20.06.2006 20:49 <DIR> . 20.06.2006 20:49 <DIR> .. 27.04.2006 17:25 <DIR> Adobe 15.05.2006 18:29 <DIR> AntiVir PersonalEdition Classic 20.06.2006 20:55 <DIR> BulletProofSoft.com 27.04.2006 12:00 <DIR> CICLO 15.06.2006 20:09 <DIR> CicloTrainer 27.04.2006 10:43 <DIR> ComPlus Applications 23.06.2006 19:09 <DIR> Corel 27.04.2006 16:03 <DIR> Elaborate Bytes 30.05.2006 20:56 <DIR> Gemeinsame Dateien 30.05.2006 21:09 <DIR> Google 27.04.2006 15:28 <DIR> Hewlett-Packard 27.04.2006 12:20 <DIR> hp deskjet 930c series 15.06.2006 21:41 <DIR> Internet Explorer 27.04.2006 13:39 <DIR> KeirNet 18.06.2006 21:24 <DIR> Lavasoft 27.04.2006 11:57 <DIR> Logitech 27.04.2006 16:10 <DIR> Macromedia 28.04.2006 07:33 <DIR> Messenger 27.04.2006 10:46 <DIR> microsoft frontpage 27.04.2006 13:26 <DIR> Microsoft Office 27.04.2006 16:01 <DIR> Mindjet 27.04.2006 15:34 <DIR> MoreTV.352 27.04.2006 13:00 <DIR> Movie Maker 28.04.2006 07:06 <DIR> Mozilla Firefox 27.04.2006 10:42 <DIR> MSN 27.04.2006 10:42 <DIR> MSN Gaming Zone 27.04.2006 14:47 <DIR> Musicmatch 03.05.2006 18:17 <DIR> Nero 27.04.2006 12:58 <DIR> NetMeeting 27.04.2006 10:42 <DIR> Online Services 27.04.2006 10:44 <DIR> Online-Dienste 28.04.2006 19:11 <DIR> Outlook Express 26.05.2006 15:18 <DIR> QuickTime 07.06.2006 21:38 <DIR> RadioTracker 30.05.2006 20:56 <DIR> Real 27.04.2006 13:21 <DIR> SiS7012 27.04.2006 16:21 <DIR> TechSmith 13.06.2006 20:58 <DIR> TWIXTEL 20.05.2006 15:36 <DIR> Windows Media Player 27.04.2006 12:58 <DIR> Windows NT 27.04.2006 15:32 <DIR> WinTV 27.04.2006 12:03 <DIR> WRPSoft 27.04.2006 16:12 <DIR> WS_FTP Pro 27.04.2006 10:46 <DIR> xerox 21.05.2006 21:47 <DIR> ZKB Onba 0 Datei(en) 0 Bytes 47 Verzeichnis(se), 54'139'965'440 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC49-87C8 Verzeichnis von C:\Programme\Gemeinsame Dateien 30.05.2006 20:56 <DIR> . 30.05.2006 20:56 <DIR> .. 28.04.2006 06:50 <DIR> Adobe 03.05.2006 18:17 <DIR> Ahead 27.04.2006 13:32 <DIR> Corel 23.06.2006 19:13 <DIR> Designer 27.04.2006 10:43 <DIR> Dienste 27.04.2006 14:44 <DIR> InstallShield 27.04.2006 11:57 <DIR> Logitech 27.04.2006 16:10 <DIR> Macromedia 27.04.2006 13:27 <DIR> Microsoft Shared 27.04.2006 10:43 <DIR> MSSoap 27.04.2006 11:33 <DIR> ODBC 30.05.2006 20:56 <DIR> Real 27.04.2006 11:33 <DIR> SpeechEngines 28.04.2006 19:11 <DIR> System 28.04.2006 07:06 <DIR> Vbox 27.04.2006 16:21 <DIR> Wise Installation Wizard 30.05.2006 20:56 <DIR> xing shared 0 Datei(en) 0 Bytes 19 Verzeichnis(se), 54'139'965'440 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: CC49-87C8 |
|
|
||
30.06.2006, 10:07
Ehrenmitglied
Beiträge: 29434 |
#6
abircher
mache bitte folgendes: 1. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) BulletProofSoft in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 4. loesche unter Verzeichnis von C:\WINDOWS\Temp 01.06.2006 21:14 0 win1.tmp 01.06.2006 21:36 0 win10.tmp 08.06.2006 19:47 0 win100.tmp 08.06.2006 19:47 0 win101.tmp .. usw. usw..... alle diese win...- Eintraege . 5. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.06.2006, 13:46
...neu hier
Beiträge: 10 |
#7
Sabina
Besten Dank für deine Hilfe Zu Punkt 1: Habe die Einstellungen übernommen und laufen gelassen. Punkt2: Habe das file 4 mal auf dem Desktop gespeichert (hat aber immer den selben Inhalt) Datentr„ger in Laufwerk G: ist Bettina Volumeseriennummer: 1D35-3511 Verzeichnis von G:\ 19.10.2005 22:05 13'521'068 Backup-Set A.rbc 19.10.2005 21:28 22'924 Backup-Set B.rbc 2 Datei(en) 13'543'992 Bytes 0 Verzeichnis(se), 91'475'038'208 Bytes frei Was muss ich jetzt damit tun? Sorry, in diesem Bereich bin ich recht Anfänger! Zu Punkt 3 hier der log: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 30.06.2006 13:37:07 for strings: ; 'bulletproofsoft' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\DefaultIcon] @="C:\\Programme\\BulletProofSoft.com\\AdvancedPersonalFirewall\\BPSF.exe,3" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BDGMailSafe\Shell\Open\command] @="\"C:\\Programme\\BulletProofSoft.com\\AdvancedPersonalFirewall\\BPSF.exe\" -warning \"%1\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4DF1DB23-A57C-11D3-A180-00A0C90AE44B}\1.0\0\win32] @="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSShldBHO.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4DF1DB23-A57C-11D3-A180-00A0C90AE44B}\1.0\HELPDIR] @="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BPS Popup Shield_is1] "Inno Setup: App Path"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield" "InstallLocation"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\" "Inno Setup: Icon Group"="BulletProofSoft.com\\Popup and Cookie Shield" "DisplayIcon"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSPopupShield.exe" "UninstallString"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\unins000.exe" "QuietUninstallString"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\unins000.exe /SILENT" "Publisher"="BulletProofSoft.com" "URLInfoAbout"="http://www.BulletProofSoft.com" "HelpLink"="http://www.BulletProofSoft.com" "URLUpdateInfo"="http://www.BulletProofSoft.com" [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BPS Security Console Toolbar\Settings\App Paths] "PopUp"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\BPSPopupShld.exe" [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft\PopupShield] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft\PopupShield] "Path"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield" "SoundAlertPath"="C:\\Programme\\BulletProofSoft.com\\BPSPopupShield\\Sounds\\Default.wav" [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\BulletProofSoft1] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\BPS Security Console] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Data Shredder] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\PC Internet Firewall Security] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Popup and Cookie Shield] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Spyware-Adware Remover] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Spyware-Adware Remover\BPS Spyware Remover] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\BulletProofSoft.com\Win Trace Remover] [HKEY_USERS\S-1-5-21-448539723-1580436667-1060284298-1004\Software\Microsoft\Windows\CurrentVersion\Run] "BPS Security Console"="C:\\Programme\\BulletProofSoft.com\\BPS Security Console\\SecCon.exe" ; End Of The Log... Punkt 4: Das Verzeichnis ist leer...wohl weil ich den Clean up laufen gelassen habe? Danke für deine Hilfe Gruss Alex |
|
|
||
01.07.2006, 02:01
Ehrenmitglied
Beiträge: 29434 |
#8
1. Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** deinstallieren: C:\Programme\BulletProofSoft.com ** gehe in die Registry Start -Ausfuehren - regedit bearbeiten - suchen - BulletProofSoft loesche alles, was du findest. ** PC neustarten ------------------------------------------------------------------------ Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2006, 13:38
...neu hier
Themenstarter Beiträge: 5 |
#9
Sabine
Hallo zusammen, danke für Euere Hilfe. Leider kann ich zwecks Krankheit erst jetzt antworten. Untenstehend wie gewünscht noch die weiteren Informationen! Noch eien Zusatzinfo (hab ich rekapituliert): Ich muss mir zu 99,9%iger Sicherheit im Juni 2006 den Trojaner zugezogen. Wahrscheinlich über die Internetseite www Punkt cjb Punkt net - dort öffnete sich ein Popup Fenster (nachdem ich mich da mit eienr cjb.net Adresse angemeldet habe udn ein wenig rumgeklickt habe) und hat den Trojaner wahrscheinlich auf meinen PC gespeichert. Danke im Voraus für jede Hilfe, Gruß. Winsock 2 Repair Utility pnrpnsp.dll - PNRP Cloud Namespace Provider mswsock.dll - TCP/IP winrnr.dll - NTDS rsvpsp.dll - (Protocol handler) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 71H7-UGH5 Verzeichnis von C:\WINDOWS\Temp 02.07.2006 12:38 <DIR> . 02.07.2006 12:38 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 12.838.162.432 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 71H7-UGH5 Verzeichnis von C:\ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 71H7-UGH5 Verzeichnis von C:\Programme 22.06.2006 18:40 <DIR> . 22.06.2006 18:40 <DIR> .. 31.01.2004 17:08 <DIR> ACD Systems 04.03.2006 14:56 <DIR> Adobe 21.12.2003 15:51 <DIR> Ahead 11.02.2004 20:57 <DIR> Alcohol Soft 31.03.2004 16:29 <DIR> Alien Shooter 27.10.2004 10:46 <DIR> Altova 17.02.2004 22:55 <DIR> Anark 06.07.2005 13:22 <DIR> APDFPRP 05.03.2006 11:46 <DIR> Audiograbber 22.06.2005 19:23 <DIR> Autoruns 04.10.2005 16:54 <DIR> AVI MPEG ASF WMV Splitter 15.12.2003 07:59 <DIR> Canon 11.07.2004 16:05 <DIR> Casino 22.06.2006 18:40 <DIR> CleanUp! 29.05.2005 20:13 <DIR> CloneCD 21.12.2003 22:04 <DIR> Common Files 15.12.2003 03:49 <DIR> ComPlus Applications 23.02.2005 20:01 <DIR> coolpro2 17.01.2004 13:30 <DIR> Creative 05.03.2006 11:46 <DIR> CuteFTP Pro 17.01.2004 13:12 <DIR> CyberLink 28.12.2005 19:14 <DIR> Data Becker 05.03.2006 11:46 <DIR> DaViDeo VHS 23.12.2003 17:11 <DIR> DaViDeo-3 05.03.2006 11:46 <DIR> DaViDeo3 19.03.2005 19:35 <DIR> ddm 16.12.2003 23:29 <DIR> DFš-Speed 04.05.2006 20:23 <DIR> DivX 01.02.2004 12:02 <DIR> eBay 22.06.2006 15:30 <DIR> Express Assist 04.05.2006 11:55 <DIR> File Scavenger 3.0 07.12.2004 20:08 <DIR> FileZilla 04.03.2006 16:36 <DIR> Gemeinsame Dateien 12.03.2005 19:01 <DIR> GifArt's Button Maker 17.01.2004 13:25 <DIR> Global DiVX Player 04.05.2006 20:23 <DIR> Google 29.12.2003 13:34 <DIR> Hewlett-Packard 21.12.2003 22:36 <DIR> HighMAT CD Writing Wizard 05.03.2006 11:46 <DIR> Hood 29.05.2005 20:13 <DIR> hp deskjet 990c series 15.12.2003 05:22 <DIR> IconSaver 22.06.2006 13:12 <DIR> ICQ 07.01.2004 21:54 <DIR> ICQPlus 28.12.2003 17:33 <DIR> IEEE 802.11b WLAN Utility(USB) 07.01.2004 21:38 2.495 INSTALL.LOG 29.02.2004 15:08 <DIR> Internet Explorer 17.01.2004 13:31 <DIR> InterVideo 19.08.2005 11:56 <DIR> IrfanView 28.01.2004 14:46 <DIR> Java 05.03.2006 11:46 <DIR> jv16 PowerTools 01.02.2004 19:24 <DIR> Kazaa Lite K++ 05.03.2006 11:46 <DIR> Kazaa Lite Resurrection 14.05.2004 10:05 <DIR> klickTel 21.02.2004 19:10 <DIR> Kodak 23.01.2005 18:22 <DIR> Lavasoft 02.01.2006 01:10 <DIR> LucasArts 23.04.2004 13:32 <DIR> Macromedia 23.07.2005 16:40 <DIR> MadOnion 21.01.2006 10:45 <DIR> MagicRotation 19.03.2005 19:39 <DIR> Messenger 15.12.2003 03:54 <DIR> microsoft frontpage 06.01.2004 13:26 <DIR> Microsoft Office 25.05.2006 11:48 <DIR> MonkeyIsland4 12.01.2004 11:29 <DIR> Motherboard Monitor 5 28.12.2003 17:00 <DIR> Movie Maker 18.02.2004 01:17 <DIR> MPEG Encoder 15.12.2003 03:49 <DIR> MSN 15.12.2003 03:49 <DIR> MSN Gaming Zone 08.12.2005 19:42 <DIR> NetDrive 19.03.2005 19:41 <DIR> NetMeeting 05.03.2006 11:46 <DIR> Netscape 05.05.2004 17:14 <DIR> NetTransport 2 22.06.2006 15:35 <DIR> Norton AntiVirus 05.03.2006 11:46 <DIR> Norton Internet Security Professional 06.01.2004 04:38 <DIR> NVIDIA 14.01.2004 13:06 <DIR> NVIDIA2 15.12.2003 03:49 <DIR> Online Services 15.12.2003 03:52 <DIR> Online-Dienste 04.05.2006 11:37 <DIR> Ontrack 05.03.2004 13:32 <DIR> Opera7 05.03.2006 11:46 <DIR> Outlook Express 25.02.2004 00:10 <DIR> Palace 25.03.2005 20:29 <DIR> Piranha Bytes 15.12.2003 05:31 <DIR> Popup Ad Filter 25.01.2004 12:36 <DIR> PowerDVD 14.02.2004 17:58 <DIR> QuickTime 05.03.2006 11:46 <DIR> RealOne Player 21.01.2005 20:49 <DIR> RegClean 22.06.2006 18:45 <DIR> RegCleaner 22.06.2006 15:35 <DIR> ReGetDx 02.07.2006 12:12 <DIR> Reminder 99 14.05.2004 11:10 <DIR> RufIdent 16.06.2005 22:12 <DIR> S5W 02.03.2004 16:12 <DIR> Save 06.01.2006 15:12 <DIR> SEC 23.09.2004 17:43 <DIR> Sierra Online 25.06.2004 12:06 <DIR> Skype 06.01.2004 13:25 <DIR> SmartStore Shared 06.01.2004 13:33 <DIR> SmartStore.biz 21.06.2006 16:18 <DIR> SpeedFan 22.06.2006 19:43 <DIR> SRN Micro 29.12.2003 10:31 <DIR> StartEd 27.11.2005 15:46 <DIR> SurfMusik 3.1 08.04.2006 18:31 <DIR> Symantec 23.07.2004 09:18 <DIR> SymNetDrv 03.07.2004 02:06 <DIR> teamspeak2_RC2 18.12.2005 13:24 <DIR> THQ 04.02.2005 00:44 <DIR> totalcmd 04.03.2006 16:40 <DIR> TuneUp Utilities 2006 21.05.2006 12:17 <DIR> Ubisoft 03.07.2004 00:31 <DIR> Vampirjagd 28.12.2003 16:28 <DIR> VIADMATOOL 28.12.2003 16:22 <DIR> VIAhm 17.12.2003 13:41 <DIR> Viewpoint 05.03.2006 11:46 <DIR> Virtual Dub 1.4.10 17.01.2004 03:21 <DIR> washer 17.03.2005 23:24 <DIR> Whoru Alpha 10.01.2006 15:03 <DIR> Winamp 21.12.2003 22:45 <DIR> Windows Journal Viewer 05.03.2006 11:46 <DIR> Windows Media Player 15.12.2003 05:05 <DIR> Windows Media-Komponenten 15.12.2003 05:02 <DIR> Windows NT 05.03.2006 11:47 <DIR> WinFACT 6 05.03.2006 11:46 <DIR> WinHTTrack 26.05.2006 16:33 <DIR> WinLemm 06.01.2004 01:37 <DIR> WinMX 22.06.2006 10:46 <DIR> WinRAR 23.04.2006 15:52 <DIR> WinZip 15.12.2003 03:54 <DIR> xerox 29.01.2005 17:21 <DIR> xp-AntiSpy 26.05.2005 09:53 <DIR> Yahoo! 1 Datei(en) 2.495 Bytes 132 Verzeichnis(se), 12.838.154.240 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 71H7-UGH5 Verzeichnis von C:\Programme\Gemeinsame Dateien 04.03.2006 16:36 <DIR> . 04.03.2006 16:36 <DIR> .. 31.01.2004 17:08 <DIR> ACD Systems 04.03.2006 14:56 <DIR> Adobe 21.12.2003 15:51 <DIR> Ahead 27.10.2004 10:46 <DIR> Altova 15.12.2003 04:18 <DIR> Designer 15.12.2003 03:51 <DIR> Dienste 06.08.2005 15:27 <DIR> InstallShield 17.01.2004 13:31 <DIR> InterVideo 28.01.2004 14:44 <DIR> Java 21.02.2004 19:10 <DIR> Kodak 23.04.2004 13:32 <DIR> Macromedia 25.02.2004 15:57 <DIR> Microsoft Shared 17.12.2003 13:41 <DIR> mozilla.org 15.12.2003 03:50 <DIR> MSSoap 31.01.2004 22:06 <DIR> NSV 15.12.2003 03:34 <DIR> ODBC 18.12.2003 15:10 <DIR> Real 18.12.2003 14:46 <DIR> ReGet Shared 06.01.2004 13:26 <DIR> SmartStore Shared 15.12.2003 03:34 <DIR> SpeechEngines 02.07.2006 12:12 <DIR> Symantec Shared 06.01.2004 02:41 <DIR> System 25.02.2005 01:35 <DIR> Vbox 19.12.2003 00:08 <DIR> Webroot Shared 04.03.2006 16:39 <DIR> Wise Installation Wizard 18.12.2003 15:10 <DIR> xing shared 0 Datei(en) 0 Bytes 28 Verzeichnis(se), 12.838.150.144 Bytes frei Dieser Beitrag wurde am 02.07.2006 um 13:42 Uhr von helpme2006 editiert.
|
|
|
||
02.07.2006, 14:56
Ehrenmitglied
Beiträge: 29434 |
#10
helpme2006
1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dllPC neustarten ** scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.07.2006, 15:56
...neu hier
Themenstarter Beiträge: 5 |
#11
Sabine
Erstmal danke... hier die Infos: Nr. 1: ------ Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hcqargvg ******************* Script file located at: hewmcaed Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! Nr. 2: ------- Wie beschrieben erledigt. Nr. 3: ------- Als Textdatei im Anhang zwecks besserer Lesbarkeit. Danke für jegliche Hilfe! ------------ Virus:Trj/Conhook.N Disinfected Operating system Hacktool:hacktool/rootkit.d Not disinfected c:\windows\system32\klo5.sys Adware:adware/superspider Not disinfected c:\windows\system32\system32.dll Spyware:spyware/iehelp Not disinfected c:\windows\downloaded program files\ipreg32.inf Adware:adware/cws.searchmeup Not disinfected c:\windows\mstasks1.exe Spyware:spyware/new.net Not disinfected c:\windows\NDNuninstall5_48.exe Adware:adware/startpage.ccm Not disinfected c:\windows\win32.bmp Adware:adware/sbsoft Not disinfected c:\windows\winsx.cab Spyware:spyware/dynadesk Not disinfected c:\programme\ddm Adware:adware/savenow Not disinfected c:\programme\Save Adware:adware/cws Not disinfected Windows Registry Adware:adware/ist.istbar Not disinfected Windows Registry Spyware:spyware/apropos Not disinfected Windows Registry Adware:adware/wupd Not disinfected Windows Registry Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Mozilla\Profiles\default\q6wu1p6i.slt\cookies.txt.old[.2o7.net/] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[BlackBox.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[VBUG.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[Dummy.class] Adware:Adware/Startpage.JU Not disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-4235d44a-34e8af3c.zip[Beyond.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv581.jar-553e4486-2ea56f45.zip[Matrix.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv581.jar-553e4486-2ea56f45.zip[Dummy.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv620.jar-7fd9548c-5827d9bf.zip[Matrix.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv620.jar-7fd9548c-5827d9bf.zip[Dummy.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv644.jar-37b63ce-116a09f1.zip[Matrix.class] Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\ron\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv644.jar-37b63ce-116a09f1.zip[Dummy.class] Anhang: Activescan.txt
|
|
|
||
02.07.2006, 17:10
Ehrenmitglied
Beiträge: 29434 |
#12
0.
start - Ausfuehren - regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow -> loeschen, falls es vorhanden ist ------------------------------------------------------------------------------- 1. poste noch mal die Logs von datfindbat (bis maerz 2006) 2. Pocket KillBox http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\system32\jvienfg.dll C:\WINDOWS\system32\magicpvt.dat C:\WINDOWS\system32\graf866.dll C:\WINDOWS\system32\khhhe.exe C:\WINDOWS\system32\xxwutrq.dll C:\WINDOWS\system32\fcyvwvt.dll c:\windows\system32\klo5.sys c:\windows\system32\system32.dll c:\windows\downloaded program files\ipreg32.inf C:\WINDOWS\Downloaded Program Files\WUInst.dll c:\windows\mstasks1.exe c:\windows\NDNuninstall5_48.exe c:\windows\win32.bmp c:\windows\winsx.cab PC neustarten 3. deinstalliere..loesche dann alles, was nach der desinstallation noch vorhanden ist. c:\programme\ddm c:\programme\Save 4. leere das cache von java sun - siehe: CCleaner http://virus-protect.org/artikel/tools/javasun.html 5. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten --------- Info: Haxdoor: http://www.sophos.com/virusinfo/analyses/trojhaxdorfam.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 14:51
...neu hier
Themenstarter Beiträge: 5 |
#13
Hallo zurück,
hier das ausführliche Ergebnis: (0.) start - Ausfuehren - regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\savenow -> loeschen, falls es vorhanden ist -> War nicht vorhanden. (1.) poste noch mal die Logs von datfindbat (bis maerz 2006) -> Bitteschööön... Volume in Laufwerk C: hat keine Bezeichnung. Verzeichnis von C:\WINDOWS\system32 03.07.2006 10:33 0 magicpvt.dat 02.07.2006 15:33 0 asfiles.txt 02.07.2006 15:29 2.550 Uninstall.ico 02.07.2006 15:29 1.406 Help.ico 02.07.2006 15:29 30.590 pavas.ico 02.07.2006 12:11 2.206 wpa.dbl 19.06.2006 09:28 45 initdebug.nfo 17.06.2006 20:34 21.840 SIntfNT.dll 17.06.2006 20:34 17.212 SIntf32.dll 17.06.2006 20:34 12.067 SIntf16.dll 14.06.2006 10:35 32 driver.dat 06.06.2006 17:17 10.281 QuickTime.qtp 06.06.2006 17:15 10.037 QuickTimeFavorites.qtr 19.04.2006 22:09 778.240 divx_xx07.dll 19.04.2006 22:09 778.240 divx_xx0c.dll 19.04.2006 22:09 761.856 divx_xx11.dll 19.04.2006 22:09 619.156 DivX.dll 19.04.2006 00:35 700.416 divxdec.ax 19.04.2006 00:34 421.888 pxdrv.dll 19.04.2006 00:34 108.544 pxcpyi64.exe 19.04.2006 00:34 109.568 pxinsi64.exe 19.04.2006 00:34 172.032 pxmas.dll 19.04.2006 00:34 372.736 px.dll 19.04.2006 00:34 56.832 pxcpya64.exe 19.04.2006 00:34 61.440 pxhpinst.exe 19.04.2006 00:34 56.320 pxinsa64.exe 19.04.2006 00:34 339.968 pxwave.dll 19.04.2006 00:34 28.672 vxblock.dll 19.04.2006 00:31 1.044.480 libdivx.dll 19.04.2006 00:31 200.704 ssldivx.dll 19.04.2006 00:30 3.596.288 qt-dx331.dll 19.04.2006 00:30 53.248 dpuGUI10.dll 19.04.2006 00:30 90.112 dpl100.dll 19.04.2006 00:30 593.920 dpuGUI11.dll 19.04.2006 00:30 200.704 dtu100.dll 19.04.2006 00:30 344.064 dpus11.dll 19.04.2006 00:30 57.344 dpv11.dll 19.04.2006 00:30 294.912 dpu10.dll 19.04.2006 00:30 294.912 dpu11.dll 19.04.2006 00:30 245.408 unicows.dll 19.04.2006 00:30 4.276 divxsm.tlb 19.04.2006 00:30 536.576 DivXsm.exe 19.04.2006 00:30 10.716 dsm_ja.qm 19.04.2006 00:30 15.331 dsm_de.qm 19.04.2006 00:30 15.172 dsm_fr.qm 19.04.2006 00:30 352.401 DivXMedia.ax 10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 26.03.2006 04:38 380.486 perfh009.dat 26.03.2006 04:38 52.900 perfc009.dat 26.03.2006 04:38 391.330 perfh007.dat 26.03.2006 04:38 63.778 perfc007.dat 26.03.2006 04:38 897.954 PerfStringBackup.INI 22.03.2006 02:38 12.288 DivXWMPExtType.dll 22.03.2006 02:38 8.523 dpude.qm 22.03.2006 02:38 3.136 dtu_de.qm Verzeichnis von C:\ 03.07.2006 10:45 0 sys.txt 03.07.2006 10:45 11.423 system.txt 03.07.2006 10:45 339 systemtemp.txt 03.07.2006 10:45 111.177 system32.txt 03.07.2006 10:33 267.968.512 hiberfil.sys 03.07.2006 10:33 402.653.184 pagefile.sys 02.07.2006 15:13 498 cscsrxqn.txt 02.07.2006 12:47 8.664 files.txt 22.06.2006 19:29 4.672 hijackthis.log 22.06.2006 19:21 1.944 dirdat2.txt 22.06.2006 19:11 19.515 t2lg.zip 22.06.2006 19:06 1.170 c.txt 22.06.2006 19:06 11.529 windows.txt 22.06.2006 19:05 131 temp.txt Verzeichnis von C:\WINDOWS 03.07.2006 10:33 0 0.log 03.07.2006 10:33 50 wiaservc.log 03.07.2006 10:33 159 wiadebug.log 03.07.2006 10:33 2.048 bootstat.dat 03.07.2006 10:32 32.564 SchedLgU.Txt 02.07.2006 17:04 1.409 QTFont.for 02.07.2006 17:04 54.156 QTFont.qfn 02.07.2006 16:17 192 Winamp.ini 02.07.2006 15:33 1.059 win.ini 02.07.2006 15:30 245.091 setupapi.log 02.06.2006 01:36 381 KTEL.INI 21.05.2006 12:06 180 Clony2.ini 18.05.2006 12:02 209.074 Windows Update.log 11.05.2006 15:12 263.369 wmsetup.log 03.05.2006 12:13 247.702 setupact.log Verzeichnis von C:\DOKUME~1\ron\LOKALE~1\Temp (2.) Pocket KillBox http://virus-protect.org/killbox.html -> Soweit erledigt bis auf folgendes: C:\WINDOWS\system32\driver.dat Sobald ich diese Datei gelöscht und dann meinen PC neu gestartet habe, dann war der Grafiktreiber weg, dass heißt Windows hat nur mit der geringsten Farb- und Bildschirmauflösung gestartet etc. Deswegen habe ich diese Datei (hatte ja eine Sicherung vorher erstellt) wieder zurück kopiert. Was steht nun genau in der entsprechenden Datei? Und zwar habe ich sie mal mit einem txt Editor geöffnet und nur diese Zeile steht drin: nv4_disp.dll#### NV4 lässt auf meinen Grafiktreiber schließen. (3.) deinstalliere..loesche dann alles, was nach der desinstallation noch vorhanden ist. c:\programme\ddm c:\programme\Save --> Erledigt! (4.) leere das cache von java sun - siehe: CCleaner http://virus-protect.org/artikel/tools/javasun.html --> Erledigt... hab den Inhalt dieses Verzeichnisses bei mir geleert: C:\Dokumente und Einstellungen\Username\Anwendungsdaten\Sun\Java\Deplopement\cache\javapi\v1.0\jar\ (5.) http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten ---> Bitteschöööön... 07/03/06 14:12:39 [Info]: BlackLight Engine 1.0.42 initialized 07/03/06 14:12:39 [Info]: OS: 5.1 build 2600 (Service Pack 1) 07/03/06 14:12:40 [Note]: 7019 4 07/03/06 14:12:40 [Note]: 7005 0 07/03/06 14:12:45 [Note]: 7006 0 07/03/06 14:12:45 [Note]: 7011 296 07/03/06 14:12:46 [Note]: 7026 0 07/03/06 14:12:46 [Note]: 7026 0 07/03/06 14:12:59 [Note]: FSRAW library version 1.7.1019 07/03/06 14:17:13 [Note]: 2000 1006 07/03/06 14:17:13 [Note]: 2000 1006 07/03/06 14:22:38 [Note]: 7007 0 (6) Im Anhang nochmal der neuste Panda Scanreport (vielleicht für Dich auch von Nutzem). Vielen, vielen Dank für Deine Hilfe !!! Anhang: Activescan.txt
|
|
|
||
03.07.2006, 15:57
Ehrenmitglied
Beiträge: 29434 |
#14
sorry, wegen der driver.dat
-------------------------------------------------------------------------- 1. hackfix http://users.telenet.be/marcvn/tools/haxfix.exe Icon klicken --> in "deutsch" einstellen --> installieren --> irgendeine Taste klicken 1. Make logfile 2. Run auto fix<- poste den report 3. Run manual fix 4. Run goldun fix -> 4 eingeben E. Exit Haxfix 2. poste den scanreport RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html 3. gehe in die Registry Start - Ausfuehren - regedit barbeiten - suchen - vdmt16 hkey_local_machine\system\currentcontrolset\services\vdmt16-> loeschen und alles, was du noch findest 4. loesche mit der Killbox C:\WINDOWS\system32\magicpvt.dat C:\WINDOWS\system32\vdmt16.sys C:\WINDOWS\system32\winlow.sys c:\windows\mstasks2.exe c:\windows\system.exe c:\windows\win32.dat c:\windows\winsx.inf C:\Dokumente und Einstellungen\ron\Desktop\1\archive.jar-4235d44a-34e8af3c.zip C:\t2lg.zip PC neustarten ** 5. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten-> poste den Report http://www.virustotal.com/flash/index_en.html C:\Programme\NetDrive\wdservice.exe ` __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.07.2006, 19:44
...neu hier
Beiträge: 10 |
#15
Ich habe nun das Programm "Spyware Doctor" installiert und laufen gelassen. Nun scheint das Problem behoben zu sein....zumindest sind die Pop ups weg. Oder steckt da doch noch eine Gefahr im Hintergrund, die ich einfach nicht mehr wahrnehme?
|
|
|
||
mich nervt seit einigen Tagen "Winantivirus pro 2006", das sich beim Surfen in meinem browser regelmässig öffnet und zum download auffordert (was ich natürlich nicht getan habe).
ich habe hijackthis heruntergeladen und so sieht mein logfile aus, weiterhin habe ich datFind.bat ausgeführt und die Infos beigefügt:
Volume in Laufwerk C: hat keine Bezeichnung.
Verzeichnis von c:\
22.06.2006 19:19 0 dirdat.txt
22.06.2006 19:11 19.515 t2lg.zip
22.06.2006 19:06 1.170 c.txt
22.06.2006 19:06 11.529 windows.txt
22.06.2006 19:05 131 temp.txt
22.06.2006 19:05 111.078 system32.txt
22.06.2006 14:18 267.968.512 hiberfil.sys
22.06.2006 14:18 402.653.184 pagefile.sys
Verzeichnis von C:\WINDOWS\system32
22.06.2006 19:12 29.184 jvienfg.dll
22.06.2006 14:18 16 magicpvt.dat
22.06.2006 08:44 29.184 graf866.dll
22.06.2006 08:44 57.344 khhhe.exe
22.06.2006 08:19 14.349 xxwutrq.dll
22.06.2006 08:01 14.349 fcyvwvt.dll
19.06.2006 09:28 45 initdebug.nfo
17.06.2006 20:34 21.840 SIntfNT.dll
17.06.2006 20:34 17.212 SIntf32.dll
17.06.2006 20:34 12.067 SIntf16.dll
15.06.2006 14:04 2.206 wpa.dbl
14.06.2006 10:35 32 driver.dat
06.06.2006 17:17 10.281 QuickTime.qtp
06.06.2006 17:15 10.037 QuickTimeFavorites.qtr
Verzeichnis von C:\WINDOWS
22.06.2006 19:16 218.600 setupapi.log
22.06.2006 14:18 0 0.log
22.06.2006 14:18 159 wiadebug.log
22.06.2006 14:18 50 wiaservc.log
22.06.2006 14:18 2.048 bootstat.dat
22.06.2006 13:21 32.564 SchedLgU.Txt
22.06.2006 11:32 192 Winamp.ini
02.06.2006 01:36 381 KTEL.INI
21.05.2006 12:06 180 Clony2.ini
21.05.2006 10:41 1.000 win.ini
18.05.2006 12:02 209.074 Windows Update.log
11.05.2006 15:12 263.369 wmsetup.log
03.05.2006 12:13 247.702 setupact.log
Verzeichnis von C:\DOKUME~1\ron\LOKALE~1\Temp
Logfile of HijackThis v1.99.1
Scan saved at 19:29:48, on 22.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Popup Ad Filter\PopFilter.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\myname\Lokale Einstellungen\Temp\HijackThis.exe
O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9088923} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - Startup: Reminder 99.lnk = C:\Programme\Reminder 99\remind99.exe
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BH7G72H} - http://www.pixaco.de/static/download/pixacodndupload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DC2548-73T8-4ED4-J812-E9BA4EB35536}: NameServer = 192.168.1.1
O20 - Winlogon Notify: jvienfg - C:\WINDOWS\SYSTEM32\jvienfg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdservice.exe