Hijackthis log meiner freundin rechner noch zu retten ??

#0
17.07.2006, 12:02
Member

Beiträge: 36
#1 hier der hijackthis log. Wäre nett wenn ihr mir was dazu sagen, bzw. mir helfen könntet diesen PC wieder hinzu bekommen.

Logfile of HijackThis v1.99.1
Scan saved at 11:52:22, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
G:\Programme\CA\eTrust Antivirus\InoRpc.exe
G:\Programme\CA\eTrust Antivirus\InoRT.exe
G:\Programme\CA\eTrust Antivirus\InoTask.exe
G:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\oodag.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\AGRSMMSG.exe
G:\PROGRA~1\CA\ETRUST~1\realmon.exe
G:\Programme\Home Cinema\PowerCinema\PCMService.exe
G:\WINDOWS\system32\RunDll32.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\WINDOWS\etMon.exe
G:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
G:\WINDOWS\system32\ctfmon.exe
g:\progra~1\intern~1\iexplore.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\Programme\ICQLite\ICQLite.exe
F:\Corinna\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rrabqvggpcfv.com/nBN4Wu3PGrKVZQpM1CfQAN3bC6WjTHZy1q88tdDLmew6RVXeX3rZ/oxflnyzhEN7.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxkppmmrnbzymf.com/nBN4Wu3PGrJQmb/pHay/JfLPx6cu2UTrNQOla5UsNuc.php
R3 - URLSearchHook: (no name) - {CDDDE89E-CE5F-4BE0-AFCA-E402413C15E3} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Corinna\dennis\adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: HyperFolio IE Site Restrictor Class - {22C1B5B2-ACB4-11D3-A719-0060089C5699} - G:\Programme\hyperfolio\HFIER10.dll
O2 - BHO: (no name) - {35DA9EF4-0265-2C0B-D387-14F534C854BC} - G:\DOKUME~1\peter\ANWEND~1\MIXLON~1\NOUNSITE.exe (file missing)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - G:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {971DFF13-C285-2359-9435-7F63383167C3} - G:\DOKUME~1\peter\ANWEND~1\MIXLON~1\NOUNSITE.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] G:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "G:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [blehbatgreatsetup] G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Active Exit Bleh Bat\shim base.exe
O4 - HKLM\..\Run: [MMTray] "G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [etMonitor] G:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mmtask] "G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Setup download] G:\DOKUME~1\Corinna\ANWEND~1\ACIDUP~1\admin flaw.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "G:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Corinna\dennis\adobe\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - G:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - G:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: BlueSoleil Hid Service - Unknown owner - G:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: License Management Service ESD - element5 - G:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - G:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPH11 - HP - G:\WINDOWS\system32\HPHipm11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - G:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
18.07.2006, 17:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 look.zip laden - entpacken - look.bat - doppeltklicken - kopiere den Text ab, der erscheint
http://virus-protect.org/zip/look.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 10:11
Member

Themenstarter

Beiträge: 36
#3 ich habe das mal gemacht hier das ergebnis

Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\

25.03.2005 17:56 4.107 data
19.09.2005 17:53 0 DO849F~1 Dokumente
14.09.2005 17:26 <DIR> DO29F5~1 Dokumente steller
14.09.2005 17:26 <DIR> DOKUME~4 Dokumente stellundner
14.09.2005 17:26 <DIR> DOKUME~3 Dokumente stellungen
14.09.2005 17:16 <DIR> DOKUME~2 Dokumente und Einsesktop
03.07.2006 10:24 <DIR> DOKUME~1 Dokumente und Einstellungen
06.09.2005 21:40 <DIR> Driver
19.08.2005 21:50 <DIR> Kpcms
11.05.2005 16:54 <DIR> PROGRA~2 Program Files
19.07.2006 10:03 <DIR> PROGRA~1 Programme
16.04.2005 15:01 <DIR> PSFONTS
27.01.2005 19:54 <DIR> Temp
04.04.2005 21:09 22.528 THEREW~1.DOC There were four or five of us.doc
03.07.2006 10:23 <DIR> WINDOWS
3 Datei(en) 26.635 Bytes
12 Verzeichnis(se), 881.590.272 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52


Verzeichnis von G:\WINDOWS\tasks

19.07.2006 10:00 264 AE4F53B09184C43C.job
04.08.2004 14:00 65 desktop.ini
19.07.2006 09:39 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 881.590.272 Bytes frei


Ich hoffe du kannst mir weiterhelfen
Seitenanfang Seitenende
19.07.2006, 10:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ich habe nicht beachtet, dass du windows auf G:\ hast, erstelle also eine neue bat, der erste Text wird wieder erscheinen, danach der neue ;)

1.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als neu.bat
und dann diese bat doppeltklicken

Zitat

cd\
cd G:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> G:\look.txt
cd G:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> G:\look.txt
dir %Windir%\tasks /a:h >> G:\look.txt
start notepad G:\look.txt
2.
LSPfix
http://www.spychecker.com/program/lspfix.html

newdotnet7_22.dll -> hake an: "I know what Im doing"-- Remove (loeschen ... nur diese dll, keine andere !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 12:24
Member

Themenstarter

Beiträge: 36
#5 ok habe ich soweit gemacht, hier das ergebnis:

Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten

18.07.2006 18:39 <DIR> .
18.07.2006 18:39 <DIR> ..
15.10.2005 15:07 <DIR> ACDSYS~1 ACD Systems
20.05.2006 08:23 <DIR> ACIDUP~1 acid up first
27.06.2006 13:50 <DIR> Adobe
27.06.2006 14:19 1.557 AdobeDLM.log
27.06.2006 14:22 <DIR> AdobeUM
15.07.2006 13:37 <DIR> Ahead
11.03.2005 15:21 <DIR> Coder
06.05.2005 11:34 <DIR> Corel
13.11.2005 16:44 <DIR> CYBERL~1 CyberLink
27.06.2006 14:19 0 dm.ini
09.09.2005 19:56 88.032 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
04.03.2006 17:50 <DIR> Help
20.01.2005 21:39 <DIR> HYPERF~1 hyperfolio
09.04.2005 19:56 <DIR> ICQLite
03.01.2005 20:01 <DIR> IDENTI~1 Identities
03.07.2006 10:10 <DIR> Lavasoft
04.01.2005 22:26 <DIR> MACROM~1 Macromedia
20.05.2006 08:23 <DIR> MIXLON~1 mix long safe
16.01.2005 17:26 <DIR> Mozilla
22.07.2005 09:22 <DIR> NETPUM~1 NetPumper
10.01.2005 21:07 <DIR> ORDNER~1 Ordner HP Share-to-Web
23.04.2005 08:36 <DIR> Real
09.06.2006 10:10 <DIR> SlySoft
18.02.2005 23:17 <DIR> Sun
05.03.2005 17:08 <DIR> Talkback
07.07.2006 12:05 40.292 wklnhst.dat
18.10.2005 15:51 <DIR> Yahoo!
4 Datei(en) 129.881 Bytes
25 Verzeichnis(se), 881.291.264 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\All Users\Anwendungsdaten

14.10.2005 15:35 <DIR> ACDSYS~1 ACD Systems
28.12.2005 20:50 <DIR> ACTIVE~1 Active Exit Bleh Bat
20.05.2006 11:24 305 ADDR_F~1.HTM addr_file.html
30.01.2005 15:10 <DIR> Adobe
12.09.2005 14:51 <DIR> Ahead
09.01.2005 13:42 <DIR> BLUETO~1 Bluetooth
21.05.2006 15:47 <DIR> CREATI~1 creative tons mode inside
09.01.2005 11:42 <DIR> CYBERL~1 CyberLink
13.02.2005 13:23 <DIR> element5
04.02.2005 14:25 <DIR> Hyperbar
20.01.2005 14:49 <DIR> HYPERF~1 hyperfolio
10.09.2005 14:46 <DIR> QUICKT~1 QuickTime
23.07.2005 08:28 <DIR> TUNEUP~1 TuneUp Software
06.09.2005 21:40 <DIR> ULEADS~1 Ulead Systems
12.08.2005 23:17 <DIR> YAHOO!~1 Yahoo! Companion
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 881.291.264 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\WINDOWS\tasks

19.07.2006 10:00 264 AE4F53B09184C43C.job
04.08.2004 14:00 65 desktop.ini
19.07.2006 12:10 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 881.291.264 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten

18.07.2006 18:39 <DIR> .
18.07.2006 18:39 <DIR> ..
15.10.2005 15:07 <DIR> ACDSYS~1 ACD Systems
20.05.2006 08:23 <DIR> ACIDUP~1 acid up first
27.06.2006 13:50 <DIR> Adobe
27.06.2006 14:19 1.557 AdobeDLM.log
27.06.2006 14:22 <DIR> AdobeUM
15.07.2006 13:37 <DIR> Ahead
11.03.2005 15:21 <DIR> Coder
06.05.2005 11:34 <DIR> Corel
13.11.2005 16:44 <DIR> CYBERL~1 CyberLink
27.06.2006 14:19 0 dm.ini
09.09.2005 19:56 88.032 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
04.03.2006 17:50 <DIR> Help
20.01.2005 21:39 <DIR> HYPERF~1 hyperfolio
09.04.2005 19:56 <DIR> ICQLite
03.01.2005 20:01 <DIR> IDENTI~1 Identities
03.07.2006 10:10 <DIR> Lavasoft
04.01.2005 22:26 <DIR> MACROM~1 Macromedia
20.05.2006 08:23 <DIR> MIXLON~1 mix long safe
16.01.2005 17:26 <DIR> Mozilla
22.07.2005 09:22 <DIR> NETPUM~1 NetPumper
10.01.2005 21:07 <DIR> ORDNER~1 Ordner HP Share-to-Web
23.04.2005 08:36 <DIR> Real
09.06.2006 10:10 <DIR> SlySoft
18.02.2005 23:17 <DIR> Sun
05.03.2005 17:08 <DIR> Talkback
07.07.2006 12:05 40.292 wklnhst.dat
18.10.2005 15:51 <DIR> Yahoo!
4 Datei(en) 129.881 Bytes
25 Verzeichnis(se), 880.607.232 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\All Users\Anwendungsdaten

14.10.2005 15:35 <DIR> ACDSYS~1 ACD Systems
28.12.2005 20:50 <DIR> ACTIVE~1 Active Exit Bleh Bat
20.05.2006 11:24 305 ADDR_F~1.HTM addr_file.html
30.01.2005 15:10 <DIR> Adobe
12.09.2005 14:51 <DIR> Ahead
09.01.2005 13:42 <DIR> BLUETO~1 Bluetooth
21.05.2006 15:47 <DIR> CREATI~1 creative tons mode inside
09.01.2005 11:42 <DIR> CYBERL~1 CyberLink
13.02.2005 13:23 <DIR> element5
04.02.2005 14:25 <DIR> Hyperbar
20.01.2005 14:49 <DIR> HYPERF~1 hyperfolio
10.09.2005 14:46 <DIR> QUICKT~1 QuickTime
23.07.2005 08:28 <DIR> TUNEUP~1 TuneUp Software
06.09.2005 21:40 <DIR> ULEADS~1 Ulead Systems
12.08.2005 23:17 <DIR> YAHOO!~1 Yahoo! Companion
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 880.607.232 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\WINDOWS\tasks

19.07.2006 10:00 264 AE4F53B09184C43C.job
04.08.2004 14:00 65 desktop.ini
19.07.2006 12:10 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 880.607.232 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten

18.07.2006 18:39 <DIR> .
18.07.2006 18:39 <DIR> ..
15.10.2005 15:07 <DIR> ACDSYS~1 ACD Systems
20.05.2006 08:23 <DIR> ACIDUP~1 acid up first
27.06.2006 13:50 <DIR> Adobe
27.06.2006 14:19 1.557 AdobeDLM.log
27.06.2006 14:22 <DIR> AdobeUM
15.07.2006 13:37 <DIR> Ahead
11.03.2005 15:21 <DIR> Coder
06.05.2005 11:34 <DIR> Corel
13.11.2005 16:44 <DIR> CYBERL~1 CyberLink
27.06.2006 14:19 0 dm.ini
09.09.2005 19:56 88.032 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
04.03.2006 17:50 <DIR> Help
20.01.2005 21:39 <DIR> HYPERF~1 hyperfolio
09.04.2005 19:56 <DIR> ICQLite
03.01.2005 20:01 <DIR> IDENTI~1 Identities
03.07.2006 10:10 <DIR> Lavasoft
04.01.2005 22:26 <DIR> MACROM~1 Macromedia
20.05.2006 08:23 <DIR> MIXLON~1 mix long safe
16.01.2005 17:26 <DIR> Mozilla
22.07.2005 09:22 <DIR> NETPUM~1 NetPumper
10.01.2005 21:07 <DIR> ORDNER~1 Ordner HP Share-to-Web
23.04.2005 08:36 <DIR> Real
09.06.2006 10:10 <DIR> SlySoft
18.02.2005 23:17 <DIR> Sun
05.03.2005 17:08 <DIR> Talkback
07.07.2006 12:05 40.292 wklnhst.dat
18.10.2005 15:51 <DIR> Yahoo!
4 Datei(en) 129.881 Bytes
25 Verzeichnis(se), 880.603.136 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\All Users\Anwendungsdaten

14.10.2005 15:35 <DIR> ACDSYS~1 ACD Systems
28.12.2005 20:50 <DIR> ACTIVE~1 Active Exit Bleh Bat
20.05.2006 11:24 305 ADDR_F~1.HTM addr_file.html
30.01.2005 15:10 <DIR> Adobe
12.09.2005 14:51 <DIR> Ahead
09.01.2005 13:42 <DIR> BLUETO~1 Bluetooth
21.05.2006 15:47 <DIR> CREATI~1 creative tons mode inside
09.01.2005 11:42 <DIR> CYBERL~1 CyberLink
13.02.2005 13:23 <DIR> element5
04.02.2005 14:25 <DIR> Hyperbar
20.01.2005 14:49 <DIR> HYPERF~1 hyperfolio
10.09.2005 14:46 <DIR> QUICKT~1 QuickTime
23.07.2005 08:28 <DIR> TUNEUP~1 TuneUp Software
06.09.2005 21:40 <DIR> ULEADS~1 Ulead Systems
12.08.2005 23:17 <DIR> YAHOO!~1 Yahoo! Companion
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 880.603.136 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\WINDOWS\tasks

19.07.2006 10:00 264 AE4F53B09184C43C.job
04.08.2004 14:00 65 desktop.ini
19.07.2006 12:10 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 880.603.136 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten

18.07.2006 18:39 <DIR> .
18.07.2006 18:39 <DIR> ..
15.10.2005 15:07 <DIR> ACDSYS~1 ACD Systems
20.05.2006 08:23 <DIR> ACIDUP~1 acid up first
27.06.2006 13:50 <DIR> Adobe
27.06.2006 14:19 1.557 AdobeDLM.log
27.06.2006 14:22 <DIR> AdobeUM
15.07.2006 13:37 <DIR> Ahead
11.03.2005 15:21 <DIR> Coder
06.05.2005 11:34 <DIR> Corel
13.11.2005 16:44 <DIR> CYBERL~1 CyberLink
27.06.2006 14:19 0 dm.ini
09.09.2005 19:56 88.032 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
04.03.2006 17:50 <DIR> Help
20.01.2005 21:39 <DIR> HYPERF~1 hyperfolio
09.04.2005 19:56 <DIR> ICQLite
03.01.2005 20:01 <DIR> IDENTI~1 Identities
03.07.2006 10:10 <DIR> Lavasoft
04.01.2005 22:26 <DIR> MACROM~1 Macromedia
20.05.2006 08:23 <DIR> MIXLON~1 mix long safe
16.01.2005 17:26 <DIR> Mozilla
22.07.2005 09:22 <DIR> NETPUM~1 NetPumper
10.01.2005 21:07 <DIR> ORDNER~1 Ordner HP Share-to-Web
23.04.2005 08:36 <DIR> Real
09.06.2006 10:10 <DIR> SlySoft
18.02.2005 23:17 <DIR> Sun
05.03.2005 17:08 <DIR> Talkback
07.07.2006 12:05 40.292 wklnhst.dat
18.10.2005 15:51 <DIR> Yahoo!
4 Datei(en) 129.881 Bytes
25 Verzeichnis(se), 879.988.736 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\Dokumente und Einstellungen\All Users\Anwendungsdaten

14.10.2005 15:35 <DIR> ACDSYS~1 ACD Systems
28.12.2005 20:50 <DIR> ACTIVE~1 Active Exit Bleh Bat
20.05.2006 11:24 305 ADDR_F~1.HTM addr_file.html
30.01.2005 15:10 <DIR> Adobe
12.09.2005 14:51 <DIR> Ahead
09.01.2005 13:42 <DIR> BLUETO~1 Bluetooth
21.05.2006 15:47 <DIR> CREATI~1 creative tons mode inside
09.01.2005 11:42 <DIR> CYBERL~1 CyberLink
13.02.2005 13:23 <DIR> element5
04.02.2005 14:25 <DIR> Hyperbar
20.01.2005 14:49 <DIR> HYPERF~1 hyperfolio
10.09.2005 14:46 <DIR> QUICKT~1 QuickTime
23.07.2005 08:28 <DIR> TUNEUP~1 TuneUp Software
06.09.2005 21:40 <DIR> ULEADS~1 Ulead Systems
12.08.2005 23:17 <DIR> YAHOO!~1 Yahoo! Companion
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 879.988.736 Bytes frei
Datentr„ger in Laufwerk G: ist Programme
Volumeseriennummer: D898-BB52

Verzeichnis von G:\WINDOWS\tasks

19.07.2006 10:00 264 AE4F53B09184C43C.job
04.08.2004 14:00 65 desktop.ini
19.07.2006 12:10 6 SA.DAT
3 Datei(en) 335 Bytes
0 Verzeichnis(se), 879.988.736 Bytes frei
Seitenanfang Seitenende
19.07.2006, 12:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 LSPfix
http://www.spychecker.com/program/lspfix.html

newdotnet7_22.dll -> hake an: "I know what Im doing"-- Remove (loeschen ... nur diese dll, keine andere !

------------------------------------------------------------------------

Anleitung: LOP- Swizzor-Trojaner entfernen
http://virus-protect.org/artikel/spyware/lop1.html

------------------------------------------------------------------------

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
CleanUp anwenden
http://virus-protect.org/cleanup.html

3.
Gehe in die Registry
Start-Ausfuehren - regedit

bearbeiten - suchen - New.net

loesche:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net
HKEY_LOCAL_MACHINE\software\new.net
HKEY_CURRENT_USER\Software\New.net

---------------------------------------------------------------

4.
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
das ist notwendig, denn im Normalmodus kann man die Dateien nicht löschen

5.
Loesche:

G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten\acid up first
G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten\mix long safe
G:\Dokumente und Einstellungen\Corinna\Anwendungsdaten\NetPumper
G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Active Exit Bleh Bat

G:\WINDOWS\tasks\AE4F53B09184C43C.job

6.
desinstalliere:
"Start -> Einstellungen -> Systemsteuerung -> Software"

- G:\Programme\Netpumper
- G:\Programme\NewDotNet
- G:\Programme\hyperfolio

7.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rrabqvggpcfv.com/nBN4Wu3PGrKVZQpM1CfQAN3bC6WjTHZy1q88tdDLmew6RVXeX3rZ/oxflnyzhEN7.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wxkppmmrnbzymf.com/nBN4Wu3PGrJQmb/pHay/JfLPx6cu2UTrNQOla5UsNuc.php
R3 - URLSearchHook: (no name) - {CDDDE89E-CE5F-4BE0-AFCA-E402413C15E3} - (no file)

O2 - BHO: HyperFolio IE Site Restrictor Class - {22C1B5B2-ACB4-11D3-A719-0060089C5699} - G:\Programme\hyperfolio\HFIER10.dll
O2 - BHO: (no name) - {35DA9EF4-0265-2C0B-D387-14F534C854BC} - G:\DOKUME~1\peter\ANWEND~1\MIXLON~1\NOUNSITE.exe (file missing)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - G:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: (no name) - {971DFF13-C285-2359-9435-7F63383167C3} - G:\DOKUME~1\peter\ANWEND~1\MIXLON~1\NOUNSITE.exe (file missing)

O4 - HKLM\..\Run: [blehbatgreatsetup] G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Active Exit Bleh Bat\shim base.exe
O4 - HKCU\..\Run: [Setup download] G:\DOKUME~1\Corinna\ANWEND~1\ACIDUP~1\admin flaw.exe

8.
boote wieder in den Normalmodus

9
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

10.
Counterspy --> löscht die Eintraege in der Registry von MessengerPlus! 3 und Netpumper
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:
*Remove

11.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

12.
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 15:09
Member

Themenstarter

Beiträge: 36
#7 ok alles gemacht,, puuuh *gg
hier der log :

Logfile of HijackThis v1.99.1
Scan saved at 15:08:45, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
G:\Programme\CA\eTrust Antivirus\InoRpc.exe
G:\Programme\CA\eTrust Antivirus\InoRT.exe
G:\Programme\CA\eTrust Antivirus\InoTask.exe
G:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\oodag.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\AGRSMMSG.exe
G:\PROGRA~1\CA\ETRUST~1\realmon.exe
G:\Programme\Home Cinema\PowerCinema\PCMService.exe
G:\WINDOWS\system32\RunDll32.exe
G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\WINDOWS\etMon.exe
G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
G:\WINDOWS\system32\ctfmon.exe
G:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
G:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
F:\Corinna\dennis\counterspy\Thread.exe
F:\Corinna\dennis\counterspy\SunProtectionServer.exe
F:\Corinna\dennis\counterspy\SunServer.exe
F:\Corinna\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Corinna\dennis\adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - G:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - G:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] G:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "G:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [MMTray] "G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [etMonitor] G:\WINDOWS\etMon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mmtask] "G:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [SunServer] F:\Corinna\dennis\counterspy\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "G:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\RunOnce: [CounterSpyCleaner] F:\Corinna\dennis\counterspy\sunASCleaner.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Corinna\dennis\adobe\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - G:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - G:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - G:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: G:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: BlueSoleil Hid Service - Unknown owner - G:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - G:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: License Management Service ESD - element5 - G:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - G:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - G:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPH11 - HP - G:\WINDOWS\system32\HPHipm11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - G:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - G:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
19.07.2006, 17:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 sehr schoen ;) alles sauber - gute Arbeit

wenn du Zeit hast, mache noch einen Onlinescan mit Panda und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.07.2006, 18:52
Member

Themenstarter

Beiträge: 36
#9 Ich wollte dir schonmal danken das du mir soweit geholfen hast, danke danke danke ;)

hier der log eine sache wurde tatsächlich noch gefunden.


Incident Status Location

Spyware:spyware/new.net Not disinfected g:\windows\NDNuninstall6_90.exe


liebe grüße Syriel
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: