Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX.. |
||
---|---|---|
#0
| ||
18.07.2006, 23:51
Member
Beiträge: 23 |
||
|
||
19.07.2006, 00:05
Ehrenmitglied
Beiträge: 29434 |
#32
Uli B
1. Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten 2. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten 3. stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten http://virus-protect.org/cleanup.html 4. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 00:54
Member
Beiträge: 23 |
#33
hallo Sabina,
ich konnte den fixwareout nicht fertig machen. es hat sich ein cmd Fenster geöffnet, nach einer Tasteneingabe gefragt, dann hat sich sygate gemeldet und eine Verbindung nach ...cops.com nicht zulassen wollen, das habe ich gestattet, dann meldet sich sygate wieder und will eine Verbindung nach www.merijn.com abfragen, die ich auch zugelassen habe. dann schließt sich eine Tasteneingabe an, dann ist das cmd Fenster zu und fixwareout auch. Es gibt keine report Datei in dem Ordner c:\fixwareout jetzt ist der Hintergrund im xp account, den ich fürs surfen nutze rot und es blinkt "danger spyware" und windows empfiehlt, 49 $ für razespyware auszugeben. habe ich noch eine Chance? ich mache noch einmal eine hijackthis... vielleicht bist Du ja noch wach... DAnke, Gruß, Uli mir scheint, der Rechner ist langsamer Richtung internet geworden. Logfile of HijackThis v1.99.1 Scan saved at 00:59:43, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [uhvjc.exe] C:\WINDOWS\system32\uhvjc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{41A97F47-FBAF-462B-A52E-E80249666B3E}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{4D055955-BC20-4AA0-A84B-C08EFA46EC1D}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CBF37E0-1F01-4455-97DB-E6F0708C08C6}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Dieser Beitrag wurde am 19.07.2006 um 01:00 Uhr von Uli B editiert.
|
|
|
||
19.07.2006, 01:03
Ehrenmitglied
Beiträge: 29434 |
#34
dann arbeite die anderen Punkte ab, deine Internetverbindung wird auf einen ukrainischen SERVER umgeleitet, aber bevor wir die 017-Eintraege fixen, brauche ich alle Daten
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 01:13
Member
Beiträge: 23 |
#35
hier der log von blacklight
07/19/06 01:11:40 [Info]: BlackLight Engine 1.0.42 initialized 07/19/06 01:11:40 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/19/06 01:11:40 [Note]: 7019 4 07/19/06 01:11:40 [Note]: 7005 0 07/19/06 01:11:45 [Note]: 7006 0 07/19/06 01:11:45 [Note]: 7011 2824 07/19/06 01:11:45 [Note]: 7026 0 07/19/06 01:11:45 [Note]: 7026 0 07/19/06 01:11:53 [Note]: FSRAW library version 1.7.1019 07/19/06 01:13:32 [Info]: Hidden file: c:\WINDOWS\system32\dmpsn.exe 07/19/06 01:13:32 [Note]: 7002 32 07/19/06 01:13:32 [Note]: 7003 1 07/19/06 01:13:32 [Note]: 10002 1 07/19/06 01:13:35 [Info]: Hidden file: c:\WINDOWS\system32\csdqd.exe 07/19/06 01:13:35 [Note]: 7002 32 07/19/06 01:13:35 [Note]: 7003 1 07/19/06 01:13:35 [Note]: 10002 1 07/19/06 01:13:36 [Info]: Hidden file: c:\WINDOWS\system32\{2C92605F-050A-421F-B553-9D2FAF89C5A2}.exe 07/19/06 01:13:36 [Note]: 10002 1 07/19/06 01:14:28 [Note]: 7007 0 Ist das alles? hier die anderen: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 19.07.2006 00:37 278.045 {DE4BBF43-E517-42C7-8432-E5DF9D2BE519}.exe 19.07.2006 00:37 705 {F89DC843-6CC1-452A-8CD8-89C6DA56D279}.exe 19.07.2006 00:37 8.329 {F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe 17.07.2006 13:07 2.206 wpa.dbl 06.07.2006 18:21 6.757.792 MRT.exe 05.07.2006 02:31 57.384 avsda.dll 04.07.2006 23:50 251.088 FNTCACHE.DAT 04.07.2006 19:32 25.941 NULL 03.07.2006 22:07 53.572 perfc009.dat 03.07.2006 22:07 381.828 perfh009.dat 03.07.2006 22:07 392.842 perfh007.dat 03.07.2006 22:07 64.650 perfc007.dat 03.07.2006 22:07 886.130 PerfStringBackup.INI 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 08:09 3.073.536 mshtml.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 11.05.2006 01:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll edit Dieser Beitrag wurde am 19.07.2006 um 01:23 Uhr von Uli B editiert.
|
|
|
||
19.07.2006, 01:19
Ehrenmitglied
Beiträge: 29434 |
#36
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html ----------- morgen frueh stelle ich dir eine Reinigung zusammen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 01:35
Member
Beiträge: 23 |
#37
Sorry, vor lauter Panik ist mir das mit den letzen 3 Monaten durch die Lappen gegangen. Ich gehe offline und mache noch einmal den Cleanup wie angegeben.
Dann nochmal die 4 Textdateien, und warte auf neue Anweisungen. Hast Du einen Kommentar zu der Spyware Meldung im roten Desktop und zur Ukraine?? Muß ich das für alle xp accounts machen? Wie stelle ich fest, ob die anderen sauber sind? Den "surf" account habe ich für diese Aktion auf "Administrator" umgestellt. Alla, vielen Dank und bis morgen. Werde wieder erst abends am Rechner sein können. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 19.07.2006 00:37 278.045 {DE4BBF43-E517-42C7-8432-E5DF9D2BE519}.exe 19.07.2006 00:37 705 {F89DC843-6CC1-452A-8CD8-89C6DA56D279}.exe 19.07.2006 00:37 8.329 {F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe 17.07.2006 13:07 2.206 wpa.dbl 06.07.2006 18:21 6.757.792 MRT.exe 05.07.2006 02:31 57.384 avsda.dll 04.07.2006 23:50 251.088 FNTCACHE.DAT 04.07.2006 19:32 25.941 NULL 03.07.2006 22:07 53.572 perfc009.dat 03.07.2006 22:07 381.828 perfh009.dat 03.07.2006 22:07 392.842 perfh007.dat 03.07.2006 22:07 64.650 perfc007.dat 03.07.2006 22:07 886.130 PerfStringBackup.INI 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 08:09 3.073.536 mshtml.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 11.05.2006 01:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 19.07.2006 01:43 866.519 WindowsUpdate.log 19.07.2006 01:42 0 0.log 19.07.2006 01:41 6.102 ModemLog_Bluetooth DUN Modem.txt 19.07.2006 01:41 6.096 ModemLog_Bluetooth Fax Modem.txt 19.07.2006 01:41 4.570 ModemLog_Creatix V.92 Data Fax Modem.txt 19.07.2006 01:41 159 wiadebug.log 19.07.2006 01:41 50 wiaservc.log 19.07.2006 01:41 2.048 bootstat.dat 19.07.2006 00:37 2.116 desktop.html 15.07.2006 01:05 7.849 WGA.log 15.07.2006 01:05 230.541 setupapi.log 15.07.2006 00:46 14.857 KB916281.log 15.07.2006 00:46 61.722 iis6.log 15.07.2006 00:46 142.446 comsetup.log 15.07.2006 00:46 1.374 imsins.log 15.07.2006 00:46 86.484 ntdtcsetup.log 15.07.2006 00:46 161.645 tsoc.log 15.07.2006 00:46 22.491 ocmsn.log 15.07.2006 00:46 212.395 ocgen.log 15.07.2006 00:46 20.391 msgsocm.log 15.07.2006 00:46 412.089 FaxSetup.log 15.07.2006 00:46 18.432 updspapi.log 13.07.2006 13:08 278 system.ini 13.07.2006 00:40 82.786 wmsetup.log 13.07.2006 00:29 6.400 balloon.wav 13.07.2006 00:25 4.456 rdt.ini 11.07.2006 22:30 1.409 QTFont.for 11.07.2006 22:30 54.156 QTFont.qfn 11.07.2006 14:51 116 NeroDigital.ini 04.07.2006 19:48 211 uno.ini 04.07.2006 19:48 621 win.ini 10.05.2006 07:39 934 MKDEMSG.LOG 10.05.2006 07:14 3.072 MKDEWE.TRN Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\DOKUME~1\Surfen\LOKALE~1\Temp 19.07.2006 01:43 16.384 ~DF65D6.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 35.628.187.648 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\ 19.07.2006 01:45 0 sys.txt 19.07.2006 01:45 10.282 system.txt 19.07.2006 01:44 284 systemtemp.txt 19.07.2006 01:44 99.262 system32.txt 19.07.2006 01:41 1.073.270.784 hiberfil.sys 19.07.2006 01:41 1.610.612.736 pagefile.sys 04.07.2006 19:32 563 TO_InstallLog.txt 27.06.2006 13:59 291.787 hpfr3425.log 27.06.2006 13:27 0 hpfr3420.xml 03.06.2006 19:18 1.241 hpothb07.tif 03.06.2006 19:18 658 hpothb07.dat 21.05.2006 10:28 80 wtf.htm 05.04.2005 21:40 211 boot.ini Dieser Beitrag wurde am 19.07.2006 um 01:50 Uhr von Uli B editiert.
|
|
|
||
19.07.2006, 13:17
Ehrenmitglied
Beiträge: 29434 |
#38
1.
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste den report, der nach neustart erscheint ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O1 - Hosts: localhost 127.0.0.1PC neustarten In der Netzwerkverbindung auf Netzwerk => die TC/IP-Verbindung => Einstellungen => Erweitert => DNS => dort ist dann folgende IP-Adressen verwenden aktiviert und der böse Server steht drin => abändern auf IP-Adresse automatisch beziehen. Zusätzlich dann noch NETbios für TCP/IP deaktivieren ** lade noch mal Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten ist wichtig ! ** poste a) das neue Log vom HijackThis b) den report von Fixwareout c) die 4 Textdateien von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 21:20
Member
Beiträge: 23 |
#39
hallo Sabina,
Ich habe es, ich hatte vergessen, files to delete vorwegzustellen. Habe das als Aufforderung verstanden, nicht als zu kopierender Text. so, hier nun das avenger log Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\sklyqcni ******************* Script file located at: \??\C:\aubpwfka.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\{DE4BBF43-E517-42C7-8432-E5DF9D2BE519}.exe deleted successfully. File C:\WINDOWS\system32\{F89DC843-6CC1-452A-8CD8-89C6DA56D279}.exe deleted successfully. File C:\WINDOWS\system32\{F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe deleted successfully. File C:\WINDOWS\system32\{2C92605F-050A-421F-B553-9D2FAF89C5A2}.exe deleted successfully. File C:\WINDOWS\system32\dmpsn.exe not found! Deletion of file C:\WINDOWS\system32\dmpsn.exe failed! Could not process line: C:\WINDOWS\system32\dmpsn.exe Status: 0xc0000034 File C:\WINDOWS\system32\csdqd.exe not found! Deletion of file C:\WINDOWS\system32\csdqd.exe failed! Could not process line: C:\WINDOWS\system32\csdqd.exe Status: 0xc0000034 File C:\WINDOWS\system32\uhvjc.exe not found! Deletion of file C:\WINDOWS\system32\uhvjc.exe failed! Could not process line: C:\WINDOWS\system32\uhvjc.exe Status: 0xc0000034 File C:\WINDOWS\desktop.html deleted successfully. File C:\WINDOWS\balloon.wav deleted successfully. File C:\WINDOWS\rdt.ini deleted successfully. Completed script processing. ******************* Finished! Terminate. habe im hijackthis O4 - HKLM\..\Run: [uhvjc.exe] C:\WINDOWS\system32\uhvjc.exe NICHT gefunden. Anbei nun der log vom aktuellen hijackthis: Es sind immer noch O17 Dinger drin... Logfile of HijackThis v1.99.1 Scan saved at 21:58:35, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [tmuip.exe] C:\WINDOWS\system32\tmuip.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{41A97F47-FBAF-462B-A52E-E80249666B3E}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{4D055955-BC20-4AA0-A84B-C08EFA46EC1D}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CBF37E0-1F01-4455-97DB-E6F0708C08C6}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe In der Netzwerkverbindung auf Netzwerk => die TC/IP-Verbindung => Einstellungen => Erweitert => DNS => dort ist dann folgende IP-Adressen verwenden aktiviert und der böse Server steht drin => abändern auf IP-Adresse automatisch beziehen. Zusätzlich dann noch NETbios für TCP/IP deaktivieren habe NETbios deaktiviert, IP Adresse automatisch beziehen geht leider nicht, habe noch nicht rausgefunden, wie ich das speedport W501V dazu bewegen soll. Auch die Telekom hotline konnte bislang nicht helfen. Habe die Einträge der fremden Server gelöscht und die eigenen vom speedport eingetragen, leider standen dann nach dem wieder hochfahren die bösen wieder drin. Danke für den Tipp, da muß wohl noch was von meinem Rechner runter, zumal auch click und puper noch kommen, ca. 5 min nachdem ich im Netz bin. Fixwareout ver 1.003 Last edited 07/1/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F9B15FEF523-B9F9-98C4-3CDC-04E47137{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}32052032F3C0-E7EA-3534-5F92-6566156F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9DCF3DA06D6D-8828-D004-8B6D-2C77977D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2D6565D3F7FB-8128-9BF4-8E07-52EAEF35{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86E5B120A409-AF28-B624-1EBC-3773D4E1{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FB66A33C0DB6-D99A-DF54-96E0-D045F050{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0147469CD702-A1BA-9614-B09D-5721C7A4{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}BC1347AC0EC2-C86A-E6E4-04E4-272D5490{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2A5C98FAF2D9-355B-F124-A050-F50629C2{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}38120F779F47-710B-0964-B9EB-AED3B173{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CF205262FF25-1668-1484-C3D5-F4A189AD{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E8DB05D9CF50-6D1A-3FF4-8107-7B8FF431{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}63C748FE9518-0459-1F74-E1A4-12FBDB11{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}14CD8C7B780D-2E0A-D764-516F-A23C13DE{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1F791C84ECF6-ABF8-C494-42A3-05D7E4F5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}530BE4B1C356-88B9-9194-1BE1-A94620C8{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E216ABE89F16-C328-36C4-646C-FA779A43{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25A0B9D8069F-E669-98B4-8F46-54BFED08{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hnpmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\luymd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}34CCA2E6B600-B258-C8D4-4C79-CB628AFC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}661015B41654-DCCA-1994-B746-EC2773FF{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\uddmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}17ABECC27681-3D2B-6504-54F4-047DCBAE{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}08EBB804A57C-DBBB-0884-92A0-BD16EB9F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D583C2D1D4AA-CD39-5494-BC14-909ECE80{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B57CC5970324-A648-82D4-2580-45124F93{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}91B1D0A4A23E-A33B-EEB4-B090-1DA19ACD{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7D4EC2634851-CA59-9584-4C0C-1576FB25{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}38E9766B93E8-DF18-EB94-05E3-BB720D9F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0F4E8A8D5BBD-AEA8-9264-E912-62FE7A9D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}DBFB62E51560-7D48-FE74-71AA-F9622505{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7917A9C043D1-C3A8-58F4-6D10-88B7F24E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}798B88D0E486-2379-B1A4-CD9F-F10C4136{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F3C046FFA6A-04F8-D214-832C-5822CF33{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C7998DD269A8-F429-6DD4-0AD9-C0469B34{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42D1838A77C9-61E9-41C4-3C1D-F820C47F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EE5BF4791745-6C4A-4744-1E10-5CECD40D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}621F32BFBEE7-474B-BE74-5425-FB686CB8{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xvcmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\hqjmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\kpqmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\unomd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qhomd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CBECE429A7D0-78EA-7674-6495-EFBD4DB5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}32AF910B32F9-00F9-B504-877A-9971044B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}42BEE1DA3E90-BE68-7304-CF4C-E79E730A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0C583BBFAC20-06E9-52D4-D3AF-603A185E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}422E024EB718-495A-CB54-E9AF-48437AB4{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1A543C48EB9E-321A-EB84-C764-063D0479{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}696248723289-AF48-A944-0B43-1FF6A16E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6ADB432FCA48-1369-EC84-1CE6-A728354B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}997DDECEB6A3-048B-C634-8FEC-B0FBA3D2{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D8032057D902-7C1A-E644-9E35-60C9C80C{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EA506FAA9355-9B9B-5024-4584-C02781AF{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3859EE5E0DF3-B0DB-0464-C8CD-AD319058{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}54C351F2402F-699B-6ED4-91DC-E989B930{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C6A8D22A4F0B-36BA-24E4-91C8-6B3C213D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ABD366788781-2DBA-1D44-C459-B22A4247{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}351D42710AD1-A8DB-AC84-8BE3-03609F3A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}78E68B9032C9-2969-AED4-ED45-DF82B552{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}84F7264F0D88-DCE9-65E4-E6B8-DA5874FE{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6388216B4B83-21A8-5DD4-66E5-23D534B6{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}C91333CF8390-AD29-6D34-0FFB-B302E173{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}54BF0409D72C-A8EA-7844-3116-AFDB07D1{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D0615335ABED-5439-1874-FB98-9C4C22FC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2F135B504806-E92B-4904-595E-542C7D32{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4D4DA6BB4352-5AEB-F034-53F2-199403EC{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}62631AA23EC0-8D9B-72A4-501C-106841ED{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EF5D84DD55BB-3908-CBA4-678F-2DE388FB{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F79D4AA899BB-D5E8-4AA4-4676-755815BA{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3B90AAB7D48-9AD9-1C74-B365-315A06A8{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}075ED5201312-7F4A-DBA4-DE81-FBE4D91A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}98E60F755F02-166A-56E4-E73A-9AAD5A79{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2B55FD74F17C-532B-11E4-A4DF-3412FCFB{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}655F0D420199-20AA-AA44-57A3-6E4B2788{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6C79E432FCBC-B01A-4E44-42D3-9FA97B65{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44D9A3BF8156-0C78-2934-6C8C-D31BB8F7{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FBDFA8390B86-1958-0634-0764-50BACE46{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F18982C251C9-E879-B594-FA5A-CC0E9869{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A8AB80DC8048-F4E8-28C4-425B-FCC9D2BD{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}74BD0F45C381-548A-1484-C861-9F4F9C56{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A3BAFC606A5D-436A-7F24-E9D5-E3EC35E0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ADCA0654F8E7-C94B-5BC4-2535-FAABCD30{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AD8195779D6D-7079-9F34-56D1-7AA21237{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}86BEA53CD12F-705A-2934-DC77-6BBA1C91{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D4D802F43415-ECBB-5154-A010-AFA0E87D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7267B1CF92C2-4F8B-9D84-857A-E21C06D5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B9F89E31AAC5-C419-0324-04ED-34E74CD6{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1E195896A87D-5D79-9694-273E-2617E9DF{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B1C71CC02353-9A2B-4B84-A108-E59D136F{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\atwmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}40A73242920C-A61B-6954-5495-3D0401EB{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FF6AFCF5B320-9128-F724-E7B8-CA270392{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is legitimate »»»»» Search by size and names... * csr.exe C:\WINDOWS\System32\CSVRV.EXE »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM32\CSVRV.EXE 51.260 2006-07-13 C:\WINDOWS\SYSTEM32\DMDMO.EXE 62.017 2004-10-13 C:\WINDOWS\SYSTEM32\DMWTA.EXE 62.017 2004-10-13 Other suspects Directory of C:\WINDOWS\system32 Logfile of HijackThis v1.99.1 Scan saved at 22:52:33, on 19.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [dmlaj.exe] C:\WINDOWS\system32\dmlaj.exe O4 - HKLM\..\Run: [xxngm.exe] C:\WINDOWS\system32\xxngm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{41A97F47-FBAF-462B-A52E-E80249666B3E}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{4D055955-BC20-4AA0-A84B-C08EFA46EC1D}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CBF37E0-1F01-4455-97DB-E6F0708C08C6}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 19.07.2006 22:56 155.648 {10EB39B5-ADE6-48EA-8358-4BD7C715205E}.dll 17.07.2006 13:07 2.206 wpa.dbl 13.07.2006 00:20 51.260 csvrv.exe 06.07.2006 18:21 6.757.792 MRT.exe 05.07.2006 02:31 57.384 avsda.dll 04.07.2006 23:50 251.088 FNTCACHE.DAT 04.07.2006 19:32 25.941 NULL 03.07.2006 22:07 53.572 perfc009.dat 03.07.2006 22:07 381.828 perfh009.dat 03.07.2006 22:07 392.842 perfh007.dat 03.07.2006 22:07 64.650 perfc007.dat 03.07.2006 22:07 886.130 PerfStringBackup.INI 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 08:09 3.073.536 mshtml.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 11.05.2006 01:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll 07.04.2006 12:40 1.409 tmp638F1.FOT 03.04.2006 11:40 14.048 spmsg.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\DOKUME~1\Surfen\LOKALE~1\Temp 19.07.2006 22:56 447 hco8.tmp 19.07.2006 22:52 16.384 ~DF38C0.tmp 19.07.2006 22:49 16.384 ~DFF363.tmp 19.07.2006 22:37 447 isw6.tmp 19.07.2006 22:31 16.384 ~DFF5FA.tmp 19.07.2006 22:23 16.384 ~DF994F.tmp 19.07.2006 22:17 16.384 ~DF60C5.tmp 19.07.2006 22:08 447 moh7.tmp 19.07.2006 22:01 447 jdb6.tmp 19.07.2006 21:58 16.384 ~DF67B.tmp 19.07.2006 21:56 16.384 ~DFC75.tmp 19.07.2006 21:43 447 eoj6.tmp 19.07.2006 21:38 16.384 ~DFDEA0.tmp 19.07.2006 21:27 16.384 ~DFAA61.tmp 19.07.2006 21:21 447 siuD.tmp 19.07.2006 21:15 447 lvbC.tmp 19.07.2006 21:09 447 ysbB.tmp 19.07.2006 20:31 16.384 ~DFA81E.tmp 19.07.2006 01:55 447 cxy7.tmp 19.07.2006 01:49 447 izn6.tmp 19.07.2006 01:43 16.384 ~DF65D6.tmp 21 Datei(en) 184.694 Bytes 0 Verzeichnis(se), 35.611.164.672 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS 19.07.2006 22:56 6.400 balloon.wav 19.07.2006 22:55 1.143.127 WindowsUpdate.log 19.07.2006 22:44 0 0.log 19.07.2006 22:44 6.102 ModemLog_Bluetooth DUN Modem.txt 19.07.2006 22:44 6.096 ModemLog_Bluetooth Fax Modem.txt 19.07.2006 22:44 4.570 ModemLog_Creatix V.92 Data Fax Modem.txt 19.07.2006 22:44 159 wiadebug.log 19.07.2006 22:44 50 wiaservc.log 19.07.2006 22:44 2.048 bootstat.dat 19.07.2006 22:28 234.211 setupapi.log 15.07.2006 01:05 7.849 WGA.log 15.07.2006 00:46 14.857 KB916281.log 15.07.2006 00:46 61.722 iis6.log 15.07.2006 00:46 142.446 comsetup.log 15.07.2006 00:46 86.484 ntdtcsetup.log 15.07.2006 00:46 1.374 imsins.log 15.07.2006 00:46 161.645 tsoc.log 15.07.2006 00:46 22.491 ocmsn.log 15.07.2006 00:46 212.395 ocgen.log 15.07.2006 00:46 20.391 msgsocm.log 15.07.2006 00:46 412.089 FaxSetup.log 15.07.2006 00:46 18.432 updspapi.log 13.07.2006 13:08 278 system.ini 13.07.2006 00:40 82.786 wmsetup.log 11.07.2006 22:30 1.409 QTFont.for 11.07.2006 22:30 54.156 QTFont.qfn 11.07.2006 14:51 116 NeroDigital.ini 04.07.2006 19:48 211 uno.ini 04.07.2006 19:48 621 win.ini 10.05.2006 07:39 934 MKDEMSG.LOG 10.05.2006 07:14 3.072 MKDEWE.TRN 30.04.2006 10:57 2.111 vminst.log 24.04.2006 22:13 521 GEARInstall.log 11.04.2006 12:47 112 BenSpiele.ini 07.04.2006 13:49 1.867.403 Nutella Screensaver.exe 07.04.2006 13:49 822.960 Nutella Screensaver.scr 07.04.2006 13:49 40.960 Nutella Screensaver.dll 07.04.2006 13:49 18.192 Nutella Screensaver.dat Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\ 19.07.2006 22:58 0 sys.txt 19.07.2006 22:57 10.187 system.txt 19.07.2006 22:57 1.232 systemtemp.txt 19.07.2006 22:56 99.149 system32.txt 19.07.2006 22:43 1.073.270.784 hiberfil.sys 19.07.2006 22:43 1.610.612.736 pagefile.sys 19.07.2006 21:35 3.090 avenger.txt 04.07.2006 19:32 563 TO_InstallLog.txt 27.06.2006 13:59 291.787 hpfr3425.log 27.06.2006 13:27 0 hpfr3420.xml 03.06.2006 19:18 658 hpothb07.dat 03.06.2006 19:18 1.241 hpothb07.tif 21.05.2006 10:28 80 wtf.htm 05.04.2005 21:40 211 boot.ini click und puper kommen immer noch und haben einen freund mitgebracht, leider habe ich den namen nicht, war zu schnell und zu beschäftigt mit dem datfind... Bitte vielmals um Entschuldigung für diesen langen thread.. Viele Grüße, Uli Dieser Beitrag wurde am 19.07.2006 um 22:57 Uhr von Uli B editiert.
|
|
|
||
19.07.2006, 23:02
Ehrenmitglied
Beiträge: 29434 |
#40
**
avenger Zitat Files to delete:** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. ** scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ** TuneUp 2006 (30 Tage free) Shareware http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner ** mit hijackThis fixen: Zitat O4 - HKLM\..\Run: [dmlaj.exe] C:\WINDOWS\system32\dmlaj.exe** poste das neue Log vom HijackThis + das erste log vom datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.07.2006, 23:13
Member
Beiträge: 23 |
#41
muß ich dazu als Administrator angemeldet sein, oder reicht da auch eingeschränktes Konto?
mache mich im eingeschränkten Konto an die Arbeit. Danke, Gruß, Uli |
|
|
||
19.07.2006, 23:21
Ehrenmitglied
Beiträge: 29434 |
#42
du solltest als Admi fungieren, denn dann hast du alle Rechte auf dem Rechner, genauso wie die viren .
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 01:10
Member
Beiträge: 23 |
#43
war als Admi drin, bin jetzt "eingeschränkt" im Netz. Danke.
Jetzt die logs: avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wvoexlqw ******************* Script file located at: \??\C:\WINDOWS\fykwsqur.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\balloon.wav deleted successfully. File C:\WINDOWS\system32\{10EB39B5-ADE6-48EA-8358-4BD7C715205E}.dll deleted successfully. File C:\WINDOWS\system32\xxngm.exe not found! Deletion of file C:\WINDOWS\system32\xxngm.exe failed! Could not process line: C:\WINDOWS\system32\xxngm.exe Status: 0xc0000034 File C:\WINDOWS\system32\dmlaj.exe not found! Deletion of file C:\WINDOWS\system32\dmlaj.exe failed! Could not process line: C:\WINDOWS\system32\dmlaj.exe Status: 0xc0000034 File C:\WINDOWS\SYSTEM32\csvrv.exe deleted successfully. File C:\WINDOWS\SYSTEM32\DMDMO.EXE deleted successfully. File C:\WINDOWS\SYSTEM32\DMWTA.EXE not found! Deletion of file C:\WINDOWS\SYSTEM32\DMWTA.EXE failed! Could not process line: C:\WINDOWS\SYSTEM32\DMWTA.EXE Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Arbeitsplatz: umgestellt ewido --------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 00:41:17 20.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj -> Adware.CoolWebSearch : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj.1 -> Adware.CoolWebSearch : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID -> Adware.CoolWebSearch : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\ToolBand.ToolBandObj\CurVer -> Adware.CoolWebSearch : Keine Aktion durchgeführt. C:\avenger\backup.zip/avenger/{2C92605F-050A-421F-B553-9D2FAF89C5A2}.exe -> Adware.Msnagent : Keine Aktion durchgeführt. C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/{F1DB3379-C6E8-4574-A9B6-A3E0059D8B01}.exe -> Adware.Raze : Keine Aktion durchgeführt. C:\avenger\backup-19.07.2006-23.30.35,64.zip/avenger/desktop.html -> Not-A-Virus.Hoax.Win32.Aflac.a : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Surfen\Cookies\surfen@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Surfen\Cookies\surfen@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Surfen\Cookies\surfen@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Surfen\Cookies\surfen@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Keine Aktion durchgeführt. C:\avenger\backup.zip/avenger/DMDMO.EXE -> Trojan.Small.fb : Keine Aktion durchgeführt. [3480] VM_01530000 -> Trojan.Small.fb : Keine Aktion durchgeführt. ::Berichtende hijackthis ich habe nicht gefunden Zitat: O4 - HKLM\..\Run: [dmlaj.exe] C:\WINDOWS\system32\dmlaj.exe O4 - HKLM\..\Run: [xxngm.exe] C:\WINDOWS\system32\xxngm.exe Logfile of HijackThis v1.99.1 Scan saved at 00:58:58, on 20.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\TuneUp Utilities 2006\Integrator.exe C:\Programme\TuneUp Utilities 2006\RegistryCleaner.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [iouen.exe] C:\WINDOWS\system32\iouen.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe 1.log vom datfindbat Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F0ED-29D3 Verzeichnis von C:\WINDOWS\system32 17.07.2006 13:07 2.206 wpa.dbl 06.07.2006 18:21 6.757.792 MRT.exe 05.07.2006 02:31 57.384 avsda.dll 04.07.2006 23:50 251.088 FNTCACHE.DAT 04.07.2006 19:32 25.941 NULL 03.07.2006 22:07 53.572 perfc009.dat 03.07.2006 22:07 381.828 perfh009.dat 03.07.2006 22:07 392.842 perfh007.dat 03.07.2006 22:07 64.650 perfc007.dat 03.07.2006 22:07 886.130 PerfStringBackup.INI 29.05.2006 17:30 1.494.016 shdocvw.dll 19.05.2006 08:09 3.073.536 mshtml.dll 17.05.2006 11:23 579.888 LegitCheckControl.dll 11.05.2006 01:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll 07.04.2006 12:40 1.409 tmp638F1.FOT 03.04.2006 11:40 14.048 spmsg.dll Auf ein neues, wie geht es weiter? Danke, Gruß, Uli Ich weiß, es ist spät. Habe beim Warten (und Hoffen, daß Du noch wach bist) nochmal einen hijackthis laufen lassen. Die O17 Dinger sind verdammt hartnäckig. Der o.a. log wurde ohne Verbindung zum Internet gemacht. Jetzt bin ich mit eingeschränktem account im internet, damit ich hier posten kann. Und (für mich Laien) schwups sind sie wieder da, die Adressen von dem bösen server. Hier der neueste hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 01:35:24, on 20.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\AGRSMMSG.exe C:\PROGRA~1\Medion\KeyStat\KeyStat.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\gzuwg.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [gzuwg.exe] C:\WINDOWS\system32\gzuwg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734 O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{41A97F47-FBAF-462B-A52E-E80249666B3E}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{4D055955-BC20-4AA0-A84B-C08EFA46EC1D}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CBF37E0-1F01-4455-97DB-E6F0708C08C6}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB}: NameServer = 85.255.114.2,85.255.112.117 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Das scheint eine längere Prozedur zu werden. Gruß, Uli Dieser Beitrag wurde am 20.07.2006 um 01:34 Uhr von Uli B editiert.
|
|
|
||
20.07.2006, 11:14
Ehrenmitglied
Beiträge: 29434 |
#44
1.
du musst die Systemwiederherstellung deaktivieren (hast du anscheinend noch nicht gemacht) 2. F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport 3. boote in den abgesicherten modus , loesche : C:\WINDOWS\system32\gzuwg.exe 4. scanne noch mal mit ewido (Im abgesicherten Modus ...aber auch loeschen lassen !) dann fixe , ebenfalls im abgesicherten modus die 017-Eintraege im HijackTHis) + O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) --------------- boote wieder in den normalmodus ** RootkitRevealer - poste den report http://www.sysinternals.com/Utilities/RootkitRevealer.html ** das neue Log vom HijackThis ** poste das log vom silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.07.2006, 19:06
...neu hier
Beiträge: 2 |
#45
Hallo hab auch das Problem mit den 4 Viren!
Hab alles versucht was hier steht antivir findet nix im abgesichertem modus habs auch optimal eingestellt wie es hier zu finden ist im Forum! spybot braucht jahre bis er gerade mal 10 % hat oder so... Hier ist auf jeden fall die hijackthis log! Logfile of HijackThis v1.99.1 Scan saved at 18:57:42, on 20.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\php\mysql\bin\mysqld-nt.exe C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\alpha9191\Desktop\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe" O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [qgtdg.exe] C:\WINDOWS\system32\qgtdg.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A82E05E-B359-4C1C-9245-AAE25BDBA22E}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{269F12BB-FA96-40D3-8D4C-33FD20A0D2EE}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{9980E810-A2F0-490B-A47A-D0D2ECA6E719}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2BEDEF9-77A4-4687-A054-C6B0E86DF07A}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O17 - HKLM\System\CS1\Services\Tcpip\..\{0A82E05E-B359-4C1C-9245-AAE25BDBA22E}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O17 - HKLM\System\CS2\Services\Tcpip\..\{0A82E05E-B359-4C1C-9245-AAE25BDBA22E}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O17 - HKLM\System\CS3\Services\Tcpip\..\{0A82E05E-B359-4C1C-9245-AAE25BDBA22E}: NameServer = 85.255.115.42,85.255.112.170 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.42 85.255.112.170 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySql - Unknown owner - C:/php/mysql/bin/mysqld-nt.exe O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke schon mal im vorraus für die hilfe! |
|
|
||
Die anderen folgen nach dem Neustart in Schritt 2
Hoffentlich soll das hier rein und nicht in einen neuen thread.
Viele Grüße,
Uli
Logfile of HijackThis v1.99.1
Scan saved at 23:50:15, on 18.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\DOKUME~1\Surfen\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [pmbbj.exe] C:\WINDOWS\system32\pmbbj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152917534656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152917666734
O17 - HKLM\System\CCS\Services\Tcpip\..\{23B9A5F4-22F0-4506-B2CB-D97493CAE5E2}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{41A97F47-FBAF-462B-A52E-E80249666B3E}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D055955-BC20-4AA0-A84B-C08EFA46EC1D}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{75A97163-E50C-45E0-B21D-B530BB2A3D29}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CBF37E0-1F01-4455-97DB-E6F0708C08C6}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1BDAB8-69D0-4F92-95BD-72DB538B4B28}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E2C6A8-DC13-41AB-9DC2-366611BC87EB}: NameServer = 85.255.114.2,85.255.112.117
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.2 85.255.112.117
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe