Spyware Quake removeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
31.07.2006, 12:47
Ehrenmitglied
Themenstarter Beiträge: 29434 |
||
|
||
31.07.2006, 17:38
Member
Beiträge: 22 |
#17
Hallo Sabina,
so ein Mist, habe aus Versehen den ORDNER "Uninstall" gelöscht..... HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net die anderes jedoch "sachgemäß". Und nu? LG Hens. |
|
|
||
31.07.2006, 17:45
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#18
poste das log bitte.
http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.07.2006, 17:54
Member
Beiträge: 22 |
#19
Hallo Sabina,
Combofix: Start Time= 31.07.2006 17:50:38,26 Running from: C:\Programme\Mozilla Firefox QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-07-27 00:10:52 ( .D... ) "C:\Programme\ewido anti-spyware 4.0" 2006-07-23 19:07:04 ( .D... ) "C:\Programme\CleanUp!" 2006-07-23 17:53:44 32206 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Y1123OU.exe" 2006-07-23 17:34:02 ( .D... ) "C:\Programme\MyXOFT" 2006-07-16 11:18:44 ( .D... ) "C:\Programme\bPlayer2" 2006-06-29 10:10:04 26250 ( ..... ) "C:\Dokumente und Einstellungen\Hens\Anwendungsdaten\wklnhst.dat" 2006-05-22 16:19:12 100489 ( A.... ) "C:\WINDOWS\UninstallFirefox.exe" 2004-05-30 22:25:44 2605 ( A.... ) "C:\Programme\pcbib_bi.ini" 2004-03-15 17:27:00 1813 ( A.... ) "C:\Programme\liesmich_bi.txt" 2004-03-15 17:27:00 1813 ( A.... ) "C:\Programme\liesmich.txt" 2003-08-14 19:13:12 40960 ( A.... ) "C:\Programme\Uninstall_PCM.exe" 2003-08-13 11:58:44 3313664 ( A.... ) "C:\Programme\pcbib_bi.exe" 2003-07-29 16:38:06 24576 ( A.... ) "C:\Programme\IUpdate.exe" 2003-07-26 18:50:18 51712 ( A.... ) "C:\Programme\PAGPCBIB.dll" 2003-07-11 12:55:10 107008 ( A.... ) "C:\Programme\bib.dll" 2003-06-25 10:46:44 12232 ( A.... ) "C:\Programme\lizenz_bi.txt" 2003-06-25 10:46:44 12232 ( A.... ) "C:\Programme\lizenz.txt" 2001-08-06 17:06:34 338338 ( A.... ) "C:\Programme\handbuch_bi.pdf" 2001-08-06 14:22:36 385536 ( A.... ) "C:\Programme\handbuch_bi.doc" 2001-08-04 15:44:30 229083 ( A.... ) "C:\Programme\pcbib_bi.hlp" 2001-08-03 17:35:40 30208 ( A.... ) "C:\Programme\PCBibFind.exe" 2001-08-03 17:21:40 70248 ( A.... ) "C:\Programme\PCBibFind.dll" 2001-07-20 17:03:38 323584 ( A.... ) "C:\Programme\PCLib.exe" 2001-07-20 13:38:22 6546 ( A.... ) "C:\Programme\pcbib_bi.cnt" 2001-03-12 16:02:08 45056 ( A.... ) "C:\Programme\KDMod.dll" 2001-03-07 13:09:14 49152 ( A.... ) "C:\Programme\KDHook.dll" 2001-01-17 07:50:28 266310 ( A.... ) "C:\Programme\ActivePG.dll" 2000-03-21 18:52:54 9 ( A.... ) "C:\Programme\PC-BIB.INF" 1999-12-16 08:33:34 32768 ( A.... ) "C:\Programme\kapkey.dll" 1998-12-13 17:41:32 9728 ( A.... ) "C:\Programme\hotkdl21.dll" 1997-03-26 17:14:38 34 ( A.... ) "C:\Programme\PC_BIB.FI" 1997-03-26 17:13:28 31 ( A.... ) "C:\Programme\PC_BIB.HIC" 1997-02-04 09:49:46 15 ( A.... ) "C:\Programme\PC_BIB.INF" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-07-31 10:53 536.399.872 C:\hiberfil.sys 2006-07-29 18:17 73.728 C:\WINDOWS\system32\asuninst.exe 2006-07-29 18:17 11.776 C:\WINDOWS\system32\ZPORT4AS.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "Dit"="Dit.exe" "Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s" "CHotkey"="mHotkey.exe" "PCMService"="\"C:\\Programme\\Medion Home Cinema XL II\\PowerCinema\\PCMService.exe\"" "PRISMSTA.EXE"="PRISMSTA.EXE START" "WooCnxMon"="C:\\PROGRA~2\\wanadoo\\CnxMon.exe" "Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe" "PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe" "HP Software Update"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd.exe\"" "XTNDConnect PC - ErPhn2"="C:\\PROGRA~1\\GEMEIN~1\\XCPCSync\\TRANSL~1\\ErPhn2\\ErTray.exe" "T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "CloneCDTray"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\"" "WinampAgent"="\"C:\\Programme\\Winamp\\Winampa.exe\"" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe" "New.net Startup"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,ClientStartup -s" "!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized" "Copernic Desktop Search"="\"C:\\Programme\\Copernic Desktop Search\\CopernicDesktopSearch.exe\" /tray" "MSMSGS"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoActiveDesktopChanges"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=dword:40000004 "OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0" HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system DisableRegistryTools REG_DWORD 0 (0x0) DisableTaskMgr REG_DWORD 0 (0x0) NoDispAppearancePage REG_DWORD 0 (0x0) NoColorChoice REG_DWORD 0 (0x0) NoSizeChoice REG_DWORD 0 (0x0) NoDispBackgroundPage REG_DWORD 0 (0x0) NoDispScrSavPage REG_DWORD 0 (0x0) NoDispCPL REG_DWORD 0 (0x0) NoVisualStyleChoice REG_DWORD 0 (0x0) NoDispSettingsPage REG_DWORD 0 (0x0) Contents of the 'Scheduled Tasks' folder Completion time: 31.07.2006 17:50:53,18 ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt LG,Hens. |
|
|
||
31.07.2006, 18:02
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#20
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "neu.reg" auf dem Desktop doppelklicken.- und der registry beifuegen Zitat REGEDIT4PC neustarten ---------------------------------------------------- 2. loesche manuell: C:\Programme\Gemeinsame Dateien\Y1123OU.exe 3. multiavtool http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2006, 13:03
Member
Beiträge: 22 |
#21
Hallo sabina,
habe C:\Programme\Gemeinsame Dateien\Y1123OU.exe auch in der Suchfunktion nicht gefunden. Hier der Scan-Report von McAfee: Virus Scan Report File -------------------------------------------------------------------------------- Virus Scan Information -------------------------------------------------------------------------------- McAfee VirusScan for Win32 v4.40.0 Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved. (408) 988-3832 LICENSED COPY - Sep 23 2004 Scan engine v4.4.00 for Win32. Virus data file v4818 created Jul 31 2006 Scanning for 202588 viruses, trojans and variants. -------------------------------------------------------------------------------- Virus Scan Results -------------------------------------------------------------------------------- 08/01/2006 11:00:39 Options: "C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML" Scanning C: [BOOT] Scanning C:\*.* C:\Dokumente und Einstellungen\Hens\Eigene Dateien\Eigene Dokumente\Schriftverkehr\privat\Rike\PART.EXE ... Found potentially unwanted program Joke-MouseShoot. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[4].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[5].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4CE5J22M\auth_user[6].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63E76D6Z\spywarestormer[1].exe ... Found potentially unwanted program Generic Adware.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IXKFYHM5\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[4].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX0BWRO7\auth_user[5].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\auth_user[4].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRE3QXI7\CA2RWXSD.htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[10].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[12].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[13].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\auth_user[6].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S6YBRQTL\exc-nopage[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1OPUL8R\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U1OPUL8R\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VC2ZGACZ\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[2].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[3].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[4].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[5].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[6].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[7].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\auth_user[8].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXGDMN41\etat_mbal[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WZE3SP63\auth_user[1].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\auth_user[10].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. C:\Dokumente und Einstellungen\Nelly\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZH5387GJ\auth_user[5].htm ... Found potentially unwanted program V-HTM.c. The file or process has been deleted. Summary report on C:\*.* File(s) Total files: ........... 237892 Clean: ................. 237822 Possibly Infected: ..... 0 Cleaned: ............... 0 Deleted: ............... 41 Non-critical Error(s): 2 Time: 00:55.19 Ist nur der letzte von C: da andere davor wahrscheinlich überschrieben. Nochmal zu HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net wo ich den ganzen "Uninstall"-Ordner gelöscht habe: Ich habe unter Systemsteuerung/Software gesehen, dass ich viele Programme darüber gar nicht mehr entfernen kann. Ist das rückgängig zu machen? LG, Hens. |
|
|
||
01.08.2006, 13:43
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#22
Hens
ich haette dich vorher anweisen sollen, die Registry zu sichern, http://virus-protect.org/reg.html aber ich dachte, die loescht genau das, was ich angewiesen habe. und nicht mehr. Im Grunde sind die Eintraege verloren, selbst , wenn du den Schluessel Uninstall neu anlegst, denn alle Unterschluessel sind von dir geloescht worden.............. HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion -> New -> Key -> Uninstall + ------- Eventuell bekommt man es mit einer Systemwiederherstellung wieder hin, aber dann musst du alle Reinigungsschritte von Beginn an ausfuehren. Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen" Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.08.2006, 20:24
Member
Beiträge: 22 |
#23
Hallo Sabina,
habe die Systemwiederherstellung und alle Schritte danach wieder durchgeführt. Mein Etrust-antivirusprogramm meldet übrigens jetzt regelmäßig, dass ein Trojaner gefunden und bereinigt wurde.... Der Bildschirm ist aber diemal nicht "blau" geworden. Habe ich was vergessen? LG,Hens. |
|
|
||
01.08.2006, 20:26
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#24
nun, wahrscheinlich muessen wir nun die Reinigung von vorn beginnen.
1. poste bitte das log vom HijackThis + die 4 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2006, 13:29
Member
Beiträge: 22 |
#25
Das kann nicht wahr sein!!!!
Das tut mir echt leid. Wenn das meine Zeit kostet, ist es ja meine Schuld, aber wenn all DEINE Mühe umsonst gewesen sein soll, dann stehe ich tief in Deiner Schuld. Ich hätte auch Verständnis, wenn Du dazu jetzt keine Lust mehr hättest... Aber vielleicht geht es ja jetzt auch ganz schnell...? Also: 1. Logfile of HijackThis v1.99.1 Scan saved at 13:19:53, on 02.08.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\PROGRA~2\wanadoo\CnxMon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\DitExp.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Sitecom\Bluetooth Software\BTTray.exe C:\Palm\hotsync.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\CNYHKey.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Hens\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\MUZIKT~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~2\wanadoo\CnxMon.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - C:\WINDOWS\System32\shdocvw.dll (HKCU) O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Datfindbat (wenn ich mich recht entsinne, dann nur die letzten 3 Monate): Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 882C-5933 Verzeichnis von c:\ 02.08.2006 13:25 0 dirdat.txt 02.08.2006 13:14 536.399.872 hiberfil.sys 02.08.2006 13:14 805.306.368 pagefile.sys 31.07.2006 17:50 8.458 ComboFix.txt 31.07.2006 10:47 3.284 smitfiles.txt 29.07.2006 09:56 2.448 avenger.txt 28.07.2006 10:20 12.387 files.txt 25.07.2006 22:03 744 DirDPF.txt 25.07.2006 22:03 2 DirDPFCns.txt 25.07.2006 21:11 1.583 sys.txt 25.07.2006 21:10 13.826 system.txt 25.07.2006 21:09 851 systemtemp.txt 25.07.2006 21:08 100.372 system32.txt 23.07.2006 19:30 895 VundoFix.txt 19.05.2006 10:02 8.091 FeurioErrorLog.txt Verzeichnis von C:\WINDOWS\system32 01.08.2006 18:01 2.206 wpa.dbl 30.07.2006 09:12 2.550 Uninstall.ico 30.07.2006 09:12 1.406 Help.ico 30.07.2006 09:12 30.590 pavas.ico 29.07.2006 18:22 0 asfiles.txt 22.05.2006 17:30 257.456 FNTCACHE.DAT 28.04.2006 01:27 81.920 ElbyCDIO.dll 06.04.2006 10:54 73.728 asuninst.exe 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 26.03.2006 13:47 51.814 perfc009.dat 26.03.2006 13:47 376.016 perfh009.dat 26.03.2006 13:47 386.338 perfh007.dat 26.03.2006 13:47 886.928 PerfStringBackup.INI 26.03.2006 13:47 62.578 perfc007.dat 06.03.2006 22:48 3.534 jupdate-1.5.0_03-b07.log Verzeichnis von C:\WINDOWS 02.08.2006 13:14 584.793 setupapi.log 02.08.2006 13:14 0 0.log 02.08.2006 13:14 6.092 ModemLog_Bluetooth Modem.txt 02.08.2006 13:14 4.394 ModemLog_Creatix V.9X DSP Data Fax Modem.txt 02.08.2006 13:14 159 wiadebug.log 02.08.2006 13:14 1.570.558 WindowsUpdate.log 02.08.2006 13:14 50 wiaservc.log 02.08.2006 13:14 2.048 bootstat.dat 01.08.2006 20:24 32.630 SchedLgU.Txt 31.07.2006 17:51 229.248 setupact.log 31.07.2006 10:53 806.702 ntbtlog.txt 30.07.2006 09:12 32 pavsig.txt 29.07.2006 18:19 871 win.ini 29.07.2006 18:07 10.584 Active Setup Log.txt 29.07.2006 18:05 719 ie7beta3_main.log 22.07.2006 19:35 50.558 cdplayer.ini 21.07.2006 12:15 95 winamp.ini 22.05.2006 17:08 146.297 ntdtcsetup.log 22.05.2006 17:08 284.457 tsoc.log 22.05.2006 17:08 1.374 imsins.log 22.05.2006 17:08 87.269 iis6.log 22.05.2006 17:08 219.248 comsetup.log 22.05.2006 17:08 40.736 KB899587.log 22.05.2006 17:08 27.992 ocmsn.log 22.05.2006 17:08 476.080 ocgen.log 22.05.2006 17:08 37.704 msgsocm.log 22.05.2006 17:08 649.598 FaxSetup.log 22.05.2006 17:08 13.781 updspapi.log 22.05.2006 17:08 1.374 imsins.BAK 22.05.2006 17:08 39.835 KB896422.log 22.05.2006 17:08 40.688 KB885835.log 22.05.2006 17:07 36.259 KB885836.log 22.05.2006 17:07 17.835 xpsp1hfm.log 22.05.2006 17:07 31.262 KB835732.log 22.05.2006 17:06 32.860 KB901017.log 22.05.2006 17:06 33.346 KB899591.log 22.05.2006 17:05 33.604 KB893756.log 22.05.2006 17:05 31.483 KB896423.log 22.05.2006 17:05 30.690 KB873339.log 22.05.2006 17:04 30.750 KB888113.log 22.05.2006 17:04 32.389 KB896358.log 22.05.2006 17:04 22.430 KB898458.log 22.05.2006 17:03 28.251 KB905495.log 22.05.2006 17:03 35.326 KB902400.log 22.05.2006 17:03 22.474 KB891781.log 22.05.2006 17:02 23.457 KB890046.log 22.05.2006 17:02 17.672 KB904706.log 22.05.2006 17:01 21.897 KB905414.log 22.05.2006 17:01 21.428 KB901214.log 22.05.2006 17:01 19.779 KB888302.log 22.05.2006 17:00 21.133 KB900725.log 22.05.2006 17:00 15.606 KB905749.log 22.05.2006 17:00 14.539 KB896428.log 22.05.2006 16:59 17.884 KB890859.log 22.05.2006 16:53 63 mdm.ini 22.05.2006 16:26 4.821 mozver.dat 22.05.2006 16:19 100.489 UninstallFirefox.exe 16.05.2006 22:42 336.210 wmsetup.log 03.05.2006 00:32 116 NeroDigital.ini 01.05.2006 21:03 4.592 ModemLog_Sony Ericsson 750 USB WMC Modem.txt 01.05.2006 21:03 5.004 ModemLog_Sony Ericsson 750 USB WMC Data Modem.txt Verzeichnis von C:\DOKUME~1\Hens\LOKALE~1\Temp 02.08.2006 13:14 6.293 jusched.log 01.08.2006 18:32 0 jupdate1.5.0.xml 2 Datei(en) 6.293 Bytes 0 Verzeichnis(se), 9.227.300.864 Bytes frei Herzlichen Dank, Sabina! |
|
|
||
03.08.2006, 01:42
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#26
Hens
also, ich kann nichts finden, welchen Trojaner beanstandet denn dein Antivirenprogramm ? Zitat Mein Etrust-antivirusprogramm meldet übrigens jetzt regelmäßig, dass ein Trojaner gefunden und bereinigt wurde....** scanne noch mal mit ewido und berichte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.08.2006, 10:24
Member
Beiträge: 22 |
#27
Guten Morgen, Sabina.
--------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 10:14:11 03.08.2006 + Scan-Ergebnis: C:\Programme\NewDotNet -> Adware.NewDotNet : Keine Aktion durchgeführt. :mozilla.8:C:\Dokumente und Einstellungen\Hens\Anwendungsdaten\Mozilla\Firefox\Profiles\6k6lhz5v.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. ::Berichtende aber: unter Quarantäne steht folgender Trojaner: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll kann und soll ich den löschen? Im Übrigen ist da immer wieder ein Popup-Fenster mit unterschiedlichen Werbungsinhalten: - Advertisement - Mozilla Firefox Soll ich meine Sicherheitseinstellungen im IE und Firefox ändern? LG, Hens. |
|
|
||
03.08.2006, 15:12
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#28
1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. scanne noch mal mit ewido, lasse alles loeschen, was gefunden wird. 3. das popupfenster beachte nicht, klicke es weg, es kommt von meinem Webseitenzaehler... er ist gratis, bringt aber leider diese doofe Werbung mit sich. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.08.2006, 17:30
Member
Beiträge: 22 |
#29
Hallo Sabina,
folgender Trojaner "Win32/Nebuler.J/Trojan" wurde erneut in "C:\Dokumente und Einstellungen\Hens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\6k6lhz5v.default\Cache" gefunden und bereinigt. Kann ich was dagegen tun? Ist Mozilla anfällig? Durch die Systembereinigung ist übrigens die Shortcut-Leiste rechts neben dem Start-Button verschwunden. Weisst Du, wie ich die wieder bekomme? Habe ansonsten Ewido nochmals laufen lassen und alles gelöscht. Wars das? LG, Hens. |
|
|
||
03.08.2006, 22:23
Ehrenmitglied
Themenstarter Beiträge: 29434 |
#30
1.
loesche das Cache vom Firefox (oben in der Leiste , Extras -> Einstellungen -> dort suche, wo man das cache leeren kann) 2. rechtsklick ganz unten, wo die fehlende Taskleiste ist. -> Eigenschaften -> (In Englisch: Lock the taskbar -> anhaken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Zitat
__________
MfG Sabina
rund um die PC-Sicherheit