Home » Spyware & Browser Hijacker Support Forum » Kann mit HijackThis einige Datein nicht fixen » Themenansicht
Kann mit HijackThis einige Datein nicht fixen |
||
|---|---|---|
| #0
| ||
|
01.07.2006, 21:14
Member
Beiträge: 36 |
||
 
|
|
|
|
02.07.2006, 00:15
Ehrenmitglied
 Beiträge: 29434 |
#2
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2006, 11:48
Member
Themenstarter Beiträge: 36 |
#3
Hallo!
Danke erstmal für die Hilfe! Hier sind die Einträge der Textdateien: system32.txt: 02.07.2006 11:41 596.934 yyadd.ini 02.07.2006 11:37 235.114 guard.tmp 02.07.2006 11:36 35.870 vsconfig.xml 02.07.2006 11:36 235.114 wri.dll 02.07.2006 11:18 595.105 yyadd.bak1 02.07.2006 11:18 569.396 ddayy.dll 02.07.2006 11:15 235.655 ir8ql5l51.dll 02.07.2006 01:26 235.114 fpp8037ue.dll 01.07.2006 21:54 235.114 mrcoree.dll 01.07.2006 21:48 392.296 perfh009.dat 01.07.2006 21:48 58.596 perfc009.dat 01.07.2006 21:48 405.118 perfh007.dat 01.07.2006 21:48 70.580 perfc007.dat 01.07.2006 21:48 827.488 PerfStringBackup.INI 01.07.2006 21:07 235.655 cfwmdm.dll 01.07.2006 20:46 233.938 tuflog.dll 01.07.2006 20:38 233.938 mwdmo.dll 01.07.2006 20:30 233.938 dhtmsft.dll 01.07.2006 20:25 236.730 fp2203foe.dll 01.07.2006 19:58 236.730 dklayx.dll 01.07.2006 19:49 4.212 zllictbl.dat 01.07.2006 19:38 233.710 mvpul9791.dll 01.07.2006 19:38 236.730 wbsdmoe.dll 01.07.2006 19:35 236.730 p4n80e5ueh.dll 01.07.2006 19:33 233.817 g8lmli3118.dll 01.07.2006 19:28 236.730 kwrberos.dll 01.07.2006 19:25 292.480 FNTCACHE.DAT 01.07.2006 19:22 235.706 n0r2la9o1d.dll 01.07.2006 18:22 236.143 kgdhu1.dll 01.07.2006 18:11 0 h323log.txt 01.07.2006 18:09 234.272 p84ulih9184.dll 01.07.2006 17:59 234.272 myexch40.dll 01.07.2006 17:59 234.921 o8nsli5718.dll 01.07.2006 17:59 234.272 mgimtf.dll 01.07.2006 17:59 234.272 mhorcl32.dll 01.07.2006 17:59 2.206 wpa.dbl 01.07.2006 17:58 251 spupdwxp.log 01.07.2006 17:52 2 wintcc.exe 01.07.2006 17:52 81.920 mmc.dll 01.07.2006 17:24 25.065 wmpscheme.xml 01.07.2006 17:21 261 $winnt$.inf 01.07.2006 17:17 2.951 CONFIG.NT 01.07.2006 17:17 16.832 amcompat.tlb 01.07.2006 17:17 23.392 nscompat.tlb 01.07.2006 17:16 488 logonui.exe.manifest 01.07.2006 17:16 488 WindowsLogon.manifest 01.07.2006 17:16 749 wuaucpl.cpl.manifest 01.07.2006 17:16 749 ncpa.cpl.manifest 01.07.2006 17:16 749 nwc.cpl.manifest 01.07.2006 17:16 749 sapi.cpl.manifest 01.07.2006 17:16 749 cdplayer.exe.manifest 01.07.2006 17:14 21.740 emptyregdb.dat 22.06.2006 00:37 39.437 jkklk.dll 22.06.2006 00:37 39.437 ssqpm.dll 22.06.2006 00:37 39.437 ssqrq.dll 07.06.2006 23:09 260.096 ati2dvag.dll 07.06.2006 23:07 307.200 atiiiexx.dll 07.06.2006 23:04 114.688 atipdlxx.dll 07.06.2006 23:04 77.824 Oemdspif.dll 07.06.2006 23:04 26.112 Ati2mdxx.exe 07.06.2006 23:04 41.984 ati2edxx.dll 07.06.2006 23:04 61.440 ati2evxx.dll 07.06.2006 23:03 409.600 ati2evxx.exe 07.06.2006 23:02 53.248 ATIDDC.DLL 07.06.2006 22:56 2.754.784 ati3duag.dll 07.06.2006 22:51 1.751.488 ativvaxx.dll 07.06.2006 22:46 6.684.672 atioglx1.dll 07.06.2006 22:43 5.050.368 atioglxx.dll 07.06.2006 22:40 204.800 atikvmag.dll 07.06.2006 22:39 17.408 atitvo32.dll 07.06.2006 22:38 290.816 ATIDEMGR.dll 07.06.2006 22:35 286.720 ati2cqag.dll 07.06.2006 16:27 520.192 ati2sgag.exe 02.06.2006 11:04 57.384 avsda.dll 01.06.2006 19:28 129.112 atiicdxx.dat 01.06.2006 03:34 6.126 atifglpf.xml systemtemp.txt: 02.07.2006 11:37 16.384 ~DF1F97.tmp 02.07.2006 11:15 16.384 ~DF20D.tmp 01.07.2006 22:52 1.093 TWAIN.LOG 01.07.2006 22:52 2 Twain001.Mtx 01.07.2006 22:52 0 Twunk002.MTX 01.07.2006 22:52 156 Twunk001.MTX 01.07.2006 22:32 46.080 ~e5d141.tmp 01.07.2006 22:14 60.928 13a5ba.mst 01.07.2006 22:14 0 ~3.tmp 01.07.2006 22:01 131 wecerr.txt 01.07.2006 21:55 16.384 ~DFC802.tmp 01.07.2006 21:49 16.972 dd_netfx20UI6BBE.txt 01.07.2006 21:48 5.064.906 dd_netfx20MSI6BBE.txt 01.07.2006 21:43 4.562 ASPNETSetup_00000.log 01.07.2006 21:26 110.950 MSI5F.tmp 01.07.2006 21:15 16.384 ~DF5EDB.tmp 01.07.2006 21:11 16.384 ~DF5DB4.tmp 01.07.2006 21:07 16.384 ~DFA60F.tmp 01.07.2006 20:57 16.384 ~DFF1ED.tmp 01.07.2006 20:48 16.384 ~DFB3D7.tmp 01.07.2006 20:47 16.384 ~DF2094.tmp 01.07.2006 20:39 16.384 ~DF2808.tmp 01.07.2006 20:30 16.384 ~DF9100.tmp 01.07.2006 19:53 794 358e70ac.avp 01.07.2006 19:50 16.384 ~DF517.tmp 01.07.2006 19:19 282.624 MSI13A.tmp 01.07.2006 19:19 98.304 MSI139.tmp 01.07.2006 19:19 110.950 MSI136.tmp 01.07.2006 19:09 3.530 Office XP Professional mit FrontPage Setup(0002).txt 01.07.2006 19:09 10.320.874 Office XP Professional mit FrontPage Setup(0002)_Task(0001).txt 01.07.2006 18:59 48.758 offcln10.log 01.07.2006 18:42 3.400 Office XP Professional mit FrontPage Setup(0001).txt 01.07.2006 18:42 841.866 Office XP Professional mit FrontPage Setup(0001)_Task(0001).txt 26.06.2006 09:22 248 1F1205F7.TMP 22.06.2006 00:37 39.437 tmp00264916 22.06.2006 00:37 39.437 tmp00082f94 16.06.2006 16:50 12.400.700 1285f1.msi 16.06.2006 16:50 46.080 2812f9.mst 16.06.2006 16:50 46.080 1285f2.mst 15.06.2006 17:02 2.554.104 3f90e3.msi 02.11.2005 00:44 127.574 GLF3BGLF3B.EXE system.txt: 02.07.2006 11:42 27.468 WindowsUpdate.log 02.07.2006 11:36 0 0.log 02.07.2006 11:36 159 wiadebug.log 02.07.2006 11:36 50 wiaservc.log 02.07.2006 11:35 2.048 bootstat.dat 02.07.2006 11:34 2.624 SchedLgU.Txt 02.07.2006 11:16 2.665.768 setupapi.log 02.07.2006 00:40 0 QUICKI~1.INI 01.07.2006 21:53 1.079 DtcInstall.log 01.07.2006 21:29 129 winamp.ini 01.07.2006 21:23 1.641 wmsetup.log 01.07.2006 20:44 215.088 ntbtlog.txt 01.07.2006 19:18 1.004 ATICIM.INI 01.07.2006 19:09 400 ODBC.INI 01.07.2006 19:08 24.296 icont.exe 01.07.2006 19:07 583 win.ini 01.07.2006 18:44 21 chipset.log 01.07.2006 18:05 29.165 spupdsvc.log 01.07.2006 18:03 1.519 OEWABLog.txt 01.07.2006 18:00 316.640 WMSysPr9.prx 01.07.2006 17:59 93.682 iis6.log 01.07.2006 17:59 25.439 comsetup.log 01.07.2006 17:59 16.198 ntdtcsetup.log 01.07.2006 17:59 21.200 tsoc.log 01.07.2006 17:59 2.404 tabletoc.log 01.07.2006 17:59 4.635 imsins.log 01.07.2006 17:59 2.292 ocmsn.log 01.07.2006 17:59 3.743 medctroc.Log 01.07.2006 17:59 32.759 ocgen.log 01.07.2006 17:59 2.112 msgsocm.log 01.07.2006 17:59 28.751 FaxSetup.log 01.07.2006 17:59 6.034 netfxocm.log 01.07.2006 17:59 21.152 msmqinst.log 01.07.2006 17:59 664.527 setuplog.txt 01.07.2006 17:57 0 Sti_Trace.log 01.07.2006 17:56 1.355 imsins.BAK 01.07.2006 17:56 435.230 svcpack.log 01.07.2006 17:54 200 cmsetacl.log 01.07.2006 17:54 299.552 WMSysPrx.prx 01.07.2006 17:53 1.330 sessmgr.setup.log 01.07.2006 17:50 0 keyboard1.dat 01.07.2006 17:48 1.348 regopt.log 01.07.2006 17:48 231 system.ini 01.07.2006 17:47 0 setuperr.log 01.07.2006 17:22 8.192 REGLOCS.OLD 01.07.2006 17:21 167.298 setupact.log 01.07.2006 17:17 0 control.ini 01.07.2006 17:17 4.161 ODBCINST.INI 01.07.2006 17:17 280 Windows Update.log 01.07.2006 17:16 749 WindowsShell.Manifest 01.07.2006 17:14 36 vb.ini 01.07.2006 17:14 37 vbaddin.ini 04.08.2004 00:58 288.768 winhlp32.exe 04.08.2004 00:58 32.866 slrundll.exe 04.08.2004 00:58 153.600 regedit.exe 04.08.2004 00:58 70.144 notepad.exe 04.08.2004 00:57 10.752 hh.exe 04.08.2004 00:57 1.035.264 explorer.exe 04.08.2004 00:57 50.688 twain_32.dll 17.07.2004 11:40 19.528 002137_.tmp 29.07.2003 19:58 36.864 PalmDevC.dll sys.txt: 02.07.2006 11:47 0 sys.txt 02.07.2006 11:46 5.414 system.txt 02.07.2006 11:43 2.459 systemtemp.txt 02.07.2006 11:41 95.652 system32.txt 02.07.2006 11:35 805.306.368 pagefile.sys 01.07.2006 17:54 211 boot.ini 01.07.2006 17:50 28.672 nwnmb_3.exe 01.07.2006 17:50 28.672 kybrdb_3.exe 01.07.2006 17:50 90.112 dfndrb_3.exe 01.07.2006 17:42 47.564 NTDETECT.COM 01.07.2006 17:42 251.184 ntldr 01.07.2006 13:52 0 FileOut.Cns 01.07.2006 13:52 0 FileIn.Cns 23.06.2006 15:34 52.275 AVCLog.txt 25.05.2006 00:00 1.374 header_defaultmasterborder.html 10.05.2006 18:52 255.292 rlst.log 10.05.2006 18:44 1.058.825 rlst.log.1 02.05.2006 21:25 399.756 rlst.log.2 02.05.2006 21:06 225.297 rlst.log.3 02.05.2006 21:00 1.058.948 rlst.log.4 02.05.2006 20:29 1.059.076 rlst.log.5 02.05.2006 20:00 1.060.331 rlst.log.6 01.05.2006 15:19 780 rlst.log.7 04.01.2006 00:26 39.312 ASPI.LOG echo.zip//dir.DPF: 18.04.2006 15:59 1.173.616 ClientAX.dll 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 22.06.2006 11:41 5.032 swflash.inf Danke für eure Hilfe! peterus |
|
|
|
|
|
|
02.07.2006, 13:46
Ehrenmitglied
Beiträge: 29434 |
#4
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. Look2Me-Destroyer V1.0.5 anwenden (poste den scanreport) http://virus-protect.org/l2mfix.html 3. Vundofix anwenden (poste den scanreport) http://virus-protect.org/artikel/tools/vundofixx.html 4. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 5 poste den scanreport vom avenger, was erscheint 6. fixe mit dem hijackThis: O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqrq.dll O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\jtjm0711e.dll O20 - Winlogon Notify: ssqrq - C:\WINDOWS\SYSTEM32\ssqrq.dll PC neustarten 7. poste das neue Log vom hijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.07.2006, 19:50
Member
Themenstarter Beiträge: 36 |
#5
Hallo Leute!!
Folgendes hat mir der PC Rausgeschrieben: ----------------------- Look2Me: Look2Me-Destroyer V1.0.12 Scanning for infected files..... Scan started at 02.07.2006 19:18:01 Infected! C:\WINDOWS\system32\fpp8037ue.dll Infected! C:\WINDOWS\system32\cfwmdm.dll Infected! C:\WINDOWS\system32\dhtmsft.dll Infected! C:\WINDOWS\system32\dklayx.dll Infected! C:\WINDOWS\system32\fp2203foe.dll Infected! C:\WINDOWS\system32\fpp8037ue.dll Infected! C:\WINDOWS\system32\g8lmli3118.dll Infected! C:\WINDOWS\system32\ir8ql5l51.dll Infected! C:\WINDOWS\system32\kgdhu1.dll Infected! C:\WINDOWS\system32\kwrberos.dll Infected! C:\WINDOWS\system32\mgimtf.dll Infected! C:\WINDOWS\system32\mhorcl32.dll Infected! C:\WINDOWS\system32\mrcoree.dll Infected! C:\WINDOWS\system32\mvpul9791.dll Infected! C:\WINDOWS\system32\mwdmo.dll Infected! C:\WINDOWS\system32\myexch40.dll Infected! C:\WINDOWS\system32\n0r2la9o1d.dll Infected! C:\WINDOWS\system32\o8nsli5718.dll Infected! C:\WINDOWS\system32\p4n80e5ueh.dll Infected! C:\WINDOWS\system32\p84ulih9184.dll Infected! C:\WINDOWS\system32\tuflog.dll Infected! C:\WINDOWS\system32\wbsdmoe.dll Infected! C:\WINDOWS\system32\wri.dll Infected! C:\WINDOWS\system32\guard.tmp Attempting to delete infected files... Attempting to delete: C:\WINDOWS\system32\fpp8037ue.dll C:\WINDOWS\system32\fpp8037ue.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\cfwmdm.dll C:\WINDOWS\system32\cfwmdm.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\dhtmsft.dll C:\WINDOWS\system32\dhtmsft.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\dklayx.dll C:\WINDOWS\system32\dklayx.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\fp2203foe.dll C:\WINDOWS\system32\fp2203foe.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\fpp8037ue.dll C:\WINDOWS\system32\fpp8037ue.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\g8lmli3118.dll C:\WINDOWS\system32\g8lmli3118.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\ir8ql5l51.dll C:\WINDOWS\system32\ir8ql5l51.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\kgdhu1.dll C:\WINDOWS\system32\kgdhu1.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\kwrberos.dll C:\WINDOWS\system32\kwrberos.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\mgimtf.dll C:\WINDOWS\system32\mgimtf.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\mhorcl32.dll C:\WINDOWS\system32\mhorcl32.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\mrcoree.dll C:\WINDOWS\system32\mrcoree.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\mvpul9791.dll C:\WINDOWS\system32\mvpul9791.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\mwdmo.dll C:\WINDOWS\system32\mwdmo.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\myexch40.dll C:\WINDOWS\system32\myexch40.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\n0r2la9o1d.dll C:\WINDOWS\system32\n0r2la9o1d.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\o8nsli5718.dll C:\WINDOWS\system32\o8nsli5718.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\p4n80e5ueh.dll C:\WINDOWS\system32\p4n80e5ueh.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\p84ulih9184.dll C:\WINDOWS\system32\p84ulih9184.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\tuflog.dll C:\WINDOWS\system32\tuflog.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\wbsdmoe.dll C:\WINDOWS\system32\wbsdmoe.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\wri.dll C:\WINDOWS\system32\wri.dll Deleted successfully! Attempting to delete: C:\WINDOWS\system32\guard.tmp C:\WINDOWS\system32\guard.tmp Deleted successfully! Making registry repairs. Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D82BF44C-A187-4015-A6FC-5E44E5A8FA90}" HKCR\Clsid\{D82BF44C-A187-4015-A6FC-5E44E5A8FA90} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0D64840C-4EBC-4085-A057-7C9C15A8E16E}" HKCR\Clsid\{0D64840C-4EBC-4085-A057-7C9C15A8E16E} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B869C728-E60D-4028-B8EE-F31FFF739779}" HKCR\Clsid\{B869C728-E60D-4028-B8EE-F31FFF739779} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B8938406-08DA-43E8-9FE1-34B9C90A5845}" HKCR\Clsid\{B8938406-08DA-43E8-9FE1-34B9C90A5845} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{04D78EAD-896F-4C83-8F93-D2DF8F876A1F}" HKCR\Clsid\{04D78EAD-896F-4C83-8F93-D2DF8F876A1F} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{A899BA72-F59C-456F-9081-86B4BEE94DDC}" HKCR\Clsid\{A899BA72-F59C-456F-9081-86B4BEE94DDC} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{DA3A6E6C-7B82-4967-B9AC-34277ED60543}" HKCR\Clsid\{DA3A6E6C-7B82-4967-B9AC-34277ED60543} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{0CA4E3A1-0D3A-4A6F-BFF7-FD37547A9353}" HKCR\Clsid\{0CA4E3A1-0D3A-4A6F-BFF7-FD37547A9353} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{16C4FC0A-30F7-4029-BBE4-F075D14F2E59}" HKCR\Clsid\{16C4FC0A-30F7-4029-BBE4-F075D14F2E59} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{32CF719F-58A5-4947-B640-A0C783DAEA77}" HKCR\Clsid\{32CF719F-58A5-4947-B640-A0C783DAEA77} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B0A7344C-C259-46C9-A4AA-D10B928B3C5A}" HKCR\Clsid\{B0A7344C-C259-46C9-A4AA-D10B928B3C5A} Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{B43932B6-16ED-4126-9BE5-272DD70805C3}" HKCR\Clsid\{B43932B6-16ED-4126-9BE5-272DD70805C3} Restoring Windows certificates. Replaced hosts file with default windows hosts file Restoring SeDebugPrivilege for Administratoren - Succeeded ----------------------- Vundofix hat bei mir keinen Log Geschrieben! ----------------------- Avanger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\mjkgialm ******************* Script file located at: \??\C:\WINDOWS\fvdhtbwq.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\yyadd.ini not found! Deletion of file C:\WINDOWS\system32\yyadd.ini failed! Could not process line: C:\WINDOWS\system32\yyadd.ini Status: 0xc0000034 File C:\WINDOWS\system32\guard.tmp not found! Deletion of file C:\WINDOWS\system32\guard.tmp failed! Could not process line: C:\WINDOWS\system32\guard.tmp Status: 0xc0000034 File C:\WINDOWS\system32\vsconfig.xml deleted successfully. File C:\WINDOWS\system32\wri.dll not found! Deletion of file C:\WINDOWS\system32\wri.dll failed! Could not process line: C:\WINDOWS\system32\wri.dll Status: 0xc0000034 File C:\WINDOWS\system32\yyadd.bak1 not found! Deletion of file C:\WINDOWS\system32\yyadd.bak1 failed! Could not process line: C:\WINDOWS\system32\yyadd.bak1 Status: 0xc0000034 File C:\WINDOWS\system32\ddayy.dll not found! Deletion of file C:\WINDOWS\system32\ddayy.dll failed! Could not process line: C:\WINDOWS\system32\ddayy.dll Status: 0xc0000034 File C:\WINDOWS\system32\ir8ql5l51.dll not found! Deletion of file C:\WINDOWS\system32\ir8ql5l51.dll failed! Could not process line: C:\WINDOWS\system32\ir8ql5l51.dll Status: 0xc0000034 File C:\WINDOWS\system32\fpp8037ue.dll not found! Deletion of file C:\WINDOWS\system32\fpp8037ue.dll failed! Could not process line: C:\WINDOWS\system32\fpp8037ue.dll Status: 0xc0000034 File C:\WINDOWS\system32\mrcoree.dll not found! Deletion of file C:\WINDOWS\system32\mrcoree.dll failed! Could not process line: C:\WINDOWS\system32\mrcoree.dll Status: 0xc0000034 File C:\WINDOWS\system32\cfwmdm.dll not found! Deletion of file C:\WINDOWS\system32\cfwmdm.dll failed! Could not process line: C:\WINDOWS\system32\cfwmdm.dll Status: 0xc0000034 File C:\WINDOWS\system32\tuflog.dll not found! Deletion of file C:\WINDOWS\system32\tuflog.dll failed! Could not process line: C:\WINDOWS\system32\tuflog.dll Status: 0xc0000034 File C:\WINDOWS\system32\mwdmo.dll not found! Deletion of file C:\WINDOWS\system32\mwdmo.dll failed! Could not process line: C:\WINDOWS\system32\mwdmo.dll Status: 0xc0000034 File C:\WINDOWS\system32\dhtmsft.dll not found! Deletion of file C:\WINDOWS\system32\dhtmsft.dll failed! Could not process line: C:\WINDOWS\system32\dhtmsft.dll Status: 0xc0000034 File C:\WINDOWS\system32\fp2203foe.dll not found! Deletion of file C:\WINDOWS\system32\fp2203foe.dll failed! Could not process line: C:\WINDOWS\system32\fp2203foe.dll Status: 0xc0000034 File C:\WINDOWS\system32\dklayx.dll not found! Deletion of file C:\WINDOWS\system32\dklayx.dll failed! Could not process line: C:\WINDOWS\system32\dklayx.dll Status: 0xc0000034 File C:\WINDOWS\system32\mvpul9791.dll not found! Deletion of file C:\WINDOWS\system32\mvpul9791.dll failed! Could not process line: C:\WINDOWS\system32\mvpul9791.dll Status: 0xc0000034 File C:\WINDOWS\system32\wbsdmoe.dll not found! Deletion of file C:\WINDOWS\system32\wbsdmoe.dll failed! Could not process line: C:\WINDOWS\system32\wbsdmoe.dll Status: 0xc0000034 File C:\WINDOWS\system32\p4n80e5ueh.dll not found! Deletion of file C:\WINDOWS\system32\p4n80e5ueh.dll failed! Could not process line: C:\WINDOWS\system32\p4n80e5ueh.dll Status: 0xc0000034 File C:\WINDOWS\system32\g8lmli3118.dll not found! Deletion of file C:\WINDOWS\system32\g8lmli3118.dll failed! Could not process line: C:\WINDOWS\system32\g8lmli3118.dll Status: 0xc0000034 File C:\WINDOWS\system32\kwrberos.dll not found! Deletion of file C:\WINDOWS\system32\kwrberos.dll failed! Could not process line: C:\WINDOWS\system32\kwrberos.dll Status: 0xc0000034 File C:\WINDOWS\system32\n0r2la9o1d.dll not found! Deletion of file C:\WINDOWS\system32\n0r2la9o1d.dll failed! Could not process line: C:\WINDOWS\system32\n0r2la9o1d.dll Status: 0xc0000034 File C:\WINDOWS\system32\kgdhu1.dll not found! Deletion of file C:\WINDOWS\system32\kgdhu1.dll failed! Could not process line: C:\WINDOWS\system32\kgdhu1.dll Status: 0xc0000034 File C:\WINDOWS\system32\p84ulih9184.dll not found! Deletion of file C:\WINDOWS\system32\p84ulih9184.dll failed! Could not process line: C:\WINDOWS\system32\p84ulih9184.dll Status: 0xc0000034 File C:\WINDOWS\system32\myexch40.dll not found! Deletion of file C:\WINDOWS\system32\myexch40.dll failed! Could not process line: C:\WINDOWS\system32\myexch40.dll Status: 0xc0000034 File C:\WINDOWS\system32\o8nsli5718.dll not found! Deletion of file C:\WINDOWS\system32\o8nsli5718.dll failed! Could not process line: C:\WINDOWS\system32\o8nsli5718.dll Status: 0xc0000034 File C:\WINDOWS\system32\mgimtf.dll not found! Deletion of file C:\WINDOWS\system32\mgimtf.dll failed! Could not process line: C:\WINDOWS\system32\mgimtf.dll Status: 0xc0000034 File C:\WINDOWS\system32\mhorcl32.dll not found! Deletion of file C:\WINDOWS\system32\mhorcl32.dll failed! Could not process line: C:\WINDOWS\system32\mhorcl32.dll Status: 0xc0000034 File C:\WINDOWS\system32\wintcc.exe deleted successfully. File C:\WINDOWS\system32\mmc.dll deleted successfully. File C:\WINDOWS\system32\jkklk.dll deleted successfully. File C:\WINDOWS\system32\ssqpm.dll deleted successfully. File C:\WINDOWS\system32\ssqrq.dll deleted successfully. File C:\WINDOWS\icont.exe not found! Deletion of file C:\WINDOWS\icont.exe failed! Could not process line: C:\WINDOWS\icont.exe Status: 0xc0000034 File C:\WINDOWS\keyboard1.dat deleted successfully. File C:\nwnmb_3.exe deleted successfully. File C:\kybrdb_3.exe deleted successfully. File C:\dfndrb_3.exe deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF1F97.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF20D.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~e5d141.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\13a5ba.mst deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~3.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wecerr.txt deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFC802.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dd_netfx20UI6BBE.txt deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dd_netfx20MSI6BBE.txt deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MSI5F.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF5EDB.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF5DB4.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFA60F.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFF1ED.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DFB3D7.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2094.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF2808.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF9100.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\358e70ac.avp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF517.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MSI13A.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MSI139.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MSI136.tmp deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1F1205F7.TMP deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp00264916 deleted successfully. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp00082f94 deleted successfully. Completed script processing. ******************* Finished! Terminate. ------------------------- Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 19:46:42, on 02.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\programme\zango\zango.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D77D547F472136C7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Startup: MSN.lnk = C:\Programme\MSN Messenger\msnmsgr.exe O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{9269A586-3761-4DC1-9B71-E1A87BABC7CC}: NameServer = 83.164.193.4,83.164.193.5 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Vielen Dank! peterus |
|
|
|
|
|
|
03.07.2006, 12:34
Ehrenmitglied
Beiträge: 29434 |
#6
peterus
0. Einzelne Dateien scannen virustotal Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> poste den Bericht http://www.virustotal.com/flash/index_en.html C:\WINDOWS\update\updmangr.exe --------------------------------------------------------------------- 1. Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) zango in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) Windows Update Manager Tool in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2006, 15:57
Member
Themenstarter Beiträge: 36 |
#7
Hallo,
ich soll von meinen Freund ausrichten das er sich irgnedwie mit der Registry gespielt hat und der PC jetzt nicht mehr geht, die gesamte Festplatte wird formatiert so das der Virus/Wurm weg ist. Blöderweiße hab ich mir gestern was eingefangen  (blödes Internet) Hier mal als ersters der Log vom HjackThis: Logfile of HijackThis v1.99.1 Scan saved at 15:53:42, on 03.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\MSI\LAN Utility\DiagAP8169.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe E:\Programme\TRIXX\TRIXX.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\programme\onlineeye pro\onlineeye.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\PDesk\PDesk.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Logitech\Profiler\lwemon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\LeechGet 2006\LeechGet.exe E:\Programme\xampp\apache\bin\apache.exe E:\Programme\xampp\FileZillaFTP\FileZillaServer.exe E:\Programme\Borland\InterBase\bin\ibguard.exe C:\WINDOWS\system32\mgabg.exe E:\Programme\xampp\mysql\bin\mysqld-nt.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\WinTV\Ir.exe C:\Programme\Synergy\synergys.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\Allzeit Atomzeit\Atomzeit.exe C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe E:\Programme\xampp\mysql\bin\winmysqladmin.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\Programme\xampp\apache\bin\apache.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iPod\bin\iPodService.exe E:\Programme\Borland\InterBase\bin\ibserver.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TRIXX] "E:\Programme\TRIXX\TRIXX.exe" -s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe /startup O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [VersionCheck] "C:\Programme\Onlineeye Pro\vcheck.exe" O4 - HKLM\..\Run: [OnlineTime] "c:\programme\onlineeye pro\onlineeye.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\system32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe O4 - HKCU\..\Run: [Shutdown4U] C:\Programme\Shutdown4U\Shutdown4U.exe -t -s O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2006\LeechGet.exe" -intray O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: Verknüpfung mit Atomzeit.lnk = C:\Programme\Allzeit Atomzeit\Atomzeit.exe O4 - Startup: Verknüpfung mit Zeitsignal.lnk = C:\Programme\Allzeit Zeitsignal\Zeitsignal.exe O4 - Startup: WinMySQLadmin.lnk = E:\Programme\xampp\mysql\bin\winmysqladmin.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: BOINC Manager.lnk = E:\Programme\BOINC\boincmgr.exe O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2006\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2006\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2006\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133627733656 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.243.185.195/activex/AxisCamControl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C47744EF-BF13-4BFD-ADDE-B9F13747A403}: NameServer = 192.168.0.1 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - E:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - E:\Programme\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - E:\Programme\Borland\InterBase\bin\ibserver.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Synergy Server - Unknown owner - C:\Programme\Synergy\synergys.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: XAMPP Service (XAMPP) - Unknown owner - E:\Programme\xampp\service.exe CleanUP! hab ich schon ausgeführt, ich mache dann noch mit den 4 Datein weiter und dann noch echo für den anfang. Lg Peterus PS: Danke für die hilfe hier im Forum, du bist uns eine große Hilfe! PPS: Ich höre immer ein Pipsen im Hintergrund und wenn ich den IE aufmache dann komme ich auf diese Seite: http://malwarewipe.com/?rid=247 und auch diese: http://www.syssecuritysite.com/ Und neben der Uhr kommen auch immer wieder meldungen nur weiß ich nicht ob das von Windows oder von irgend was anderen kommt... Dieser Beitrag wurde am 03.07.2006 um 16:06 Uhr von peterus editiert.
|
|
|
|
|
|
|
03.07.2006, 16:02
Member
Themenstarter Beiträge: 36 |
#8
Sodala, hier mal die
system32.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78E1-0644 Verzeichnis von C:\WINDOWS\system32 03.07.2006 15:57 4.972 stdole3.tlb 03.07.2006 14:46 48.882 vsconfig.xml 03.07.2006 14:44 8.192 simpole.tlb 03.07.2006 14:44 44.032 hp100.tmp 03.07.2006 14:44 49.164 ld100.tmp 02.07.2006 23:33 10.832 atmclk.exe 02.07.2006 23:33 176.128 guxxa.dll 02.07.2006 23:33 69.120 dcomcfg.exe 02.07.2006 23:33 4.286 ot.ico 02.07.2006 23:33 4.286 ts.ico 02.07.2006 23:26 58.892 regperf.exe 30.06.2006 19:03 13.646 wpa.dbl 24.06.2006 11:25 4.212 zllictbl.dat 18.06.2006 17:54 394.872 vsdatant.sys 01.05.2006 12:09 0 lo2.txtt 24.04.2006 15:40 4.730.880 wmp.dll und hier systemtemp: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78E1-0644 Verzeichnis von C:\DOKUME~1\PETERB~1\LOKALE~1\Temp 03.07.2006 14:53 412 jusched.log 03.07.2006 14:46 16.384 Perflib_Perfdata_b68.dat 03.07.2006 14:45 16.384 Perflib_Perfdata_888.dat 03.07.2006 14:45 16.384 Perflib_Perfdata_274.dat 03.07.2006 14:44 16.384 ~DF7948.tmp 03.07.2006 14:42 2.048.000 Acr3.tmp 03.07.2006 12:47 426 Acr7.tmp 03.07.2006 12:47 426 Acr5.tmp 03.07.2006 12:37 16.384 ~DFDA44.tmp 9 Datei(en) 2.131.184 Bytes 0 Verzeichnis(se), 8.573.865.984 Bytes frei dann haben wir da noch system.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78E1-0644 Verzeichnis von C:\WINDOWS 03.07.2006 14:52 2.039.290 WindowsUpdate.log 03.07.2006 14:46 0 0.log 03.07.2006 14:43 2.048 bootstat.dat 03.07.2006 13:02 498 onlineeye.INI 03.07.2006 12:53 55.724 wmsetup.log 03.07.2006 12:48 986 IE4 Error Log.txt 02.07.2006 23:56 32.578 SchedLgU.Txt 02.07.2006 23:27 54.156 QTFont.qfn 02.07.2006 23:18 776 wincmd.ini 02.07.2006 23:05 1.536 wcx_ftp.ini 01.07.2006 22:53 3.085 my.ini 01.07.2006 13:46 544 wiadebug.log 01.07.2006 13:22 50 wiaservc.log 30.06.2006 19:09 261.034 setupapi.log 25.06.2006 18:19 2.194 asrc.ini 18.06.2006 15:41 1.409 QTFont.for 16.06.2006 23:14 136.073 DirectX.log und sys.txt: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78E1-0644 Verzeichnis von C:\ 03.07.2006 16:01 0 sys.txt 03.07.2006 16:00 12.174 system.txt 03.07.2006 15:59 717 systemtemp.txt 03.07.2006 15:58 102.709 system32.txt 03.07.2006 14:43 1.073.270.784 hiberfil.sys 03.07.2006 14:43 1.610.612.736 pagefile.sys 02.07.2006 01:16 671 vvrheinruhr.vv.funpic.de.htm 01.07.2006 23:39 27.813 localhost.sql 01.07.2006 22:39 281.670 localhost[1]1.sql.zip 01.07.2006 22:38 311.906 localhost[1].sql.zip 01.07.2006 13:44 806.658 rlst.log 24.06.2006 21:35 105 ZendOptimizer_errors.txt 23.06.2006 21:40 1.497 rlst.log.1 23.06.2006 16:51 1.296.985 lebl.zip 22.06.2006 21:46 7.807 AVCLog.txt 15.06.2006 22:23 923.870 rlst.log.2 15.06.2006 21:58 1.059.057 rlst.log.3 15.06.2006 21:26 1.059.941 rlst.log.4 15.06.2006 20:58 2.595 rlst.log.5 12.05.2006 17:53 146.770 treeinfo.wc 10.05.2006 22:22 582.458 rlst.log.6 10.05.2006 22:11 1.059.120 rlst.log.7 01.05.2006 14:07 2.802 avenger.txt 01.05.2006 13:46 972 DirDPF.txt 01.05.2006 13:46 2 DirDPFCns.txt 22.04.2006 15:43 13.030 PDOXUSRS.NET 13.04.2006 22:39 1.328 FSUIPC_reg.bin 13.04.2006 22:00 37 TO.PS1 10.04.2006 15:24 1.529.532 FSUIPC.zip 09.04.2006 13:45 1.502.218 pcproxy-1.1.1.zip 09.04.2006 13:11 23.959.159 sb_3_0_4.zip echo kommt gleich. |
|
|
|
|
|
|
03.07.2006, 16:04
Member
Themenstarter Beiträge: 36 |
#9
und echo:
10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 78E1-0644 Verzeichnis von C:\WINDOWS\Downloaded Program Files 15.11.2001 18:42 325 AxisCamControl.inf 15.11.2001 18:40 221.184 AxisCamControl.ocx 08.11.2001 11:59 192.512 CamCli.dll 14.07.2005 18:28 365 f3initialsetup1.0.0.15.inf 18.08.1999 09:54 180.224 ijl11.dll 10.11.2005 15:05 876 jinstall-1_5_0_06.inf 03.11.2005 21:24 495 LegitCheckControl.inf 30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf 14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx 26.05.2005 05:19 293 muweb.inf 27.08.2005 14:30 5.065 swflash.inf 11 Datei(en) 715.230 Bytes Lg Peterus |
|
|
|
|
|
|
03.07.2006, 16:18
Ehrenmitglied
Beiträge: 29434 |
#10
peterus
Information http://virus-protect.org/artikel/spyware/spywarequake.html ------------------------------------------------------------------------- 1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. es reicht, dass du smitfraud.fix anwendest, die logs hier postest, die Systemwiederherstellung deaktivierst, dann wieder aktivieren http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2006, 16:27
Member
Themenstarter Beiträge: 36 |
#11
Hier mal der erster der beiden:
SmitFraudFix v2.67 Scan done at 16:26:36,98, 03.07.2006 Run from C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\atmclk.exe FOUND ! C:\WINDOWS\system32\dcomcfg.exe FOUND ! C:\WINDOWS\system32\guxxa.dll FOUND ! C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld???.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\regperf.exe FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! C:\WINDOWS\system32\1024\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Peter Buchegger\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PETERB~1\FAVORI~1 C:\DOKUME~1\PETERB~1\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\MalwareWipe\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
|
|
|
|
03.07.2006, 16:44
Ehrenmitglied
Beiträge: 29434 |
#12
nun musst du es auch noch mit Option 2 loeschen lassen (am besten im abgesicherten modus)... wende auch die Option an, dass die Registry gereinigt wird.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2006, 16:44
Member
Themenstarter Beiträge: 36 |
#13
Hab ich
und hier die letzte Datei: SmitFraudFix v2.67 Scan done at 16:31:23,50, 03.07.2006 Run from C:\Dokumente und Einstellungen\Peter Buchegger\Desktop\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\atmclk.exe Deleted C:\WINDOWS\system32\dcomcfg.exe Deleted C:\WINDOWS\system32\guxxa.dll Deleted C:\WINDOWS\system32\hp???.tmp Deleted C:\WINDOWS\system32\ld???.tmp Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\regperf.exe Deleted C:\WINDOWS\system32\simpole.tlb Deleted C:\WINDOWS\system32\stdole3.tlb Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\1024\ Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\PETERB~1\FAVORI~1\Antivirus Test Online.url Deleted C:\Programme\MalwareWipe\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Bis jetzt habe ich keine Meldungen erhalten und auch die Startseite wurde zurückgesetzt. Schon fertig oder kommt noch was? Da hätte ich noch eine Frage: Bei MSN und LeechGet2006 kann man das irgendwie so einstellen das die Datein nach dem Download geprüft werden, (ich verwende AntiVir) bis vor kurtzen ist das noch gegangen, jetzt bekomme ich aber jedes mal einen Fehler. Was für eine EXE muss ich da jetzt genau eintragen dammit das wieder geht? Lg Peter Edit: Mir ist gerade aufgefallen, wenn ich die Startseite auf Leer stelle, den IE wieder zu mache und dann wieder einen öffne kommt trozdem die seite von Microsoft! Dieser Beitrag wurde am 03.07.2006 um 17:09 Uhr von peterus editiert.
|
|
|
|
|
|
|
03.07.2006, 18:13
Ehrenmitglied
Beiträge: 29434 |
#14
1.
neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 2. lade den Firefox und stelle ihn als Standard ein http://virus-protect.org/firefox.html 3. Problem Antivirus ... warum das Pruefen einzelner Dateien nicht funktioniert.... ich weiss es nicht. Vielleicht, weil sie gepackte Dateien sind ? Keine Ahnung... welche Fehlermeldung kommt denn ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.07.2006, 18:26
Member
Themenstarter Beiträge: 36 |
#15
1.
Hab ich gemaht geht aber trozdem nicht. 2. Lade ich gerade  3. INVALID PARAMETER The application will be closed! Hier mal die exe die ich verwende: C:\Programme\AntiVir PersonalEdition Classic\avscan.exe |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin schon wieder da.
Mein Freund hat ein paar Probleme:
Es öffnen sich immer ein paar Internetseiten, dann haben wir gemeinsam schon ein paar einträge mit HijackThis gefixt.
Hier hab ich mal das erste Log von ihm:
Logfile of HijackThis v1.99.1
Scan saved at 20:48:09, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\dfndrb_3.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\ssqrq.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [utasvc] rundll32.exe C:\WINDOWS\System32\utasvc.dll,start
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrb_3.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdb_3.exe
O4 - HKLM\..\Run: [newname] C:\\nwnmb_3.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: MSN.lnk = C:\Programme\MSN Messenger\msnmsgr.exe
O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9269A586-3761-4DC1-9B71-E1A87BABC7CC}: NameServer = 83.164.193.4,83.164.193.5
O20 - AppInit_DLLs: C:\WINDOWS\System32\mmc.dll
O20 - Winlogon Notify: ssqrq - C:\WINDOWS\SYSTEM32\ssqrq.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\jt2u07f9e.dll
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\mipmsnsv.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWF4IE11c3Rlcm1hbm4\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
und hier das letzte Log:
Logfile of HijackThis v1.99.1
Scan saved at 21:07:48, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
C:\WINDOWS\system32\wscntfy.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqrq.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: MSN.lnk = C:\Programme\MSN Messenger\msnmsgr.exe
O4 - Startup: Skype.lnk = C:\Programme\Skype\Phone\Skype.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9269A586-3761-4DC1-9B71-E1A87BABC7CC}: NameServer = 83.164.193.4,83.164.193.5
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\jtjm0711e.dll
O20 - Winlogon Notify: ssqrq - C:\WINDOWS\SYSTEM32\ssqrq.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWF4IE11c3Rlcm1hbm4\command.exe (file missing)
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Wie sollen wir den weitermachen?
Lg Peterus