Home » Spyware & Browser Hijacker Support Forum » Problem mit einem Spy Prog. hoffe schnelles Fixen wär möglich » Themenansicht

Problem mit einem Spy Prog. hoffe schnelles Fixen wär möglich

Thema ist geschlossen!
Thema ist geschlossen!
#0
01.08.2006, 19:53
herra
Member

Beiträge: 14
#1 Hi

Habe folgende Sypaware soeben entdeckt hier mal die Log :

Logfile of HijackThis v1.99.1
Scan saved at 19:50:26, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hammr\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D67C5D7D4E2B39C0 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Programme\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

grüße


Das programm namens Zango bereitet mir Schwieirigkeiten und wenn ich nun google per IE öffne habe ich oben eine Leiste von myglobalsearch
Seitenanfang Seitenende
01.08.2006, 20:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 herra

Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKEY_LOCAL_MACHINE\SOFTWARE\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A}

Files to delete:

C:\Programme\Zango\zango.exe
C:\Programme\Zango\zangoau.dat
c:\Programme\Zango\zangohook.dll
C:\Programme\Zango\__delete_on_reboot__j_.___d___l___l___
c:\Programme\Zango\zango_gdf.dat
c:\Programme\Zango\zango_hpk.dat
c:\Programme\Zango\zango_kyf.dat
C:\WINDOWS\Downloaded Program Files\ClientAX.dll
C:\WINDOWS\Downloaded Program Files\SAIX.dll
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
C:\Program Files\Zango Programs\Zango Toolbar\__delete_on_reboot__Z_a_n_g_o_T_B_._d_l_l
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
desinstalliere:
C:\Programme\MyGlobalSearch
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 20:14
herra
Member

Themenstarter

Beiträge: 14
#3 Hi sabina ;)

so hier die Log



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fkcgafmf

*******************

Script file located at: \??\C:\WINDOWS\vhdysrci.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Zango\zango.exe deleted successfully.
File C:\Programme\Zango\zangoau.dat deleted successfully.
File c:\Programme\Zango\zangohook.dll deleted successfully.


File C:\Programme\Zango\__delete_on_reboot__j_.___d___l___l___ not found!
Deletion of file C:\Programme\Zango\__delete_on_reboot__j_.___d___l___l___ failed!

Could not process line:
C:\Programme\Zango\__delete_on_reboot__j_.___d___l___l___
Status: 0xc0000034

File c:\Programme\Zango\zango_gdf.dat deleted successfully.
File c:\Programme\Zango\zango_hpk.dat deleted successfully.
File c:\Programme\Zango\zango_kyf.dat deleted successfully.
File C:\WINDOWS\Downloaded Program Files\ClientAX.dll deleted successfully.


File C:\WINDOWS\Downloaded Program Files\SAIX.dll not found!
Deletion of file C:\WINDOWS\Downloaded Program Files\SAIX.dll failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\SAIX.dll
Status: 0xc0000034



Could not open file C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe for deletion
Deletion of file C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe failed!

Could not process line:
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe
Status: 0xc000003a



Could not open file C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll for deletion
Deletion of file C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll failed!

Could not process line:
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
Status: 0xc000003a



Could not open file C:\Program Files\Zango Programs\Zango Toolbar\__delete_on_reboot__Z_a_n_g_o_T_B_._d_l_l for deletion
Deletion of file C:\Program Files\Zango Programs\Zango Toolbar\__delete_on_reboot__Z_a_n_g_o_T_B_._d_l_l failed!

Could not process line:
C:\Program Files\Zango Programs\Zango Toolbar\__delete_on_reboot__Z_a_n_g_o_T_B_._d_l_l
Status: 0xc000003a

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
01.08.2006, 20:17
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\Zango Programs\Zango Toolbar" >>files.txt
dir "C:\Program Files\Zango Programs" >>files.txt
dir "C:\Programme\MyGlobalSearch\bar\1.bin" >>files.txt
dir "C:\Programme\MyGlobalSearch\bar" >>files.txt
dir "C:\Programme\MyGlobalSearch" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 20:19
herra
Member

Themenstarter

Beiträge: 14
#5 Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Program Files

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
15.01.2003 18:16 897 iuctl.inf
15.05.2006 18:48 367 LegitCheckControl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
22.06.2006 11:41 5.032 swflash.inf
5 Datei(en) 8.155 Bytes
0 Verzeichnis(se), 40.102.670.336 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp

01.08.2006 20:10 <DIR> .
01.08.2006 20:10 <DIR> ..
27.07.2006 03:49 255 1F1205F7.TMP
24.07.2006 22:08 0 1p9AC.tmp
12.07.2006 22:09 450.048 27b432.mst
24.07.2006 22:08 0 598AB.tmp
13.07.2006 00:24 0 77fA2.tmp
23.07.2006 21:47 0 8u95A.tmp
12.07.2006 21:58 4.562 ASPNETSetup_00000.log
13.07.2006 00:25 0 cncA3.tmp
31.07.2006 19:17 10.538 control.xml
12.07.2006 22:00 5.076.156 dd_netfx20MSI5897.txt
12.07.2006 22:01 18.094 dd_netfx20UI5897.txt
23.07.2006 21:47 0 dua5D.tmp
15.07.2006 22:59 1.351.680 duh2fo3k.exe
24.07.2006 22:09 0 dx6B3.tmp
24.07.2006 22:06 0 f9583.tmp
12.07.2006 22:16 <DIR> ff_temp
15.07.2006 17:08 0 fla27.tmp
19.07.2006 00:26 0 fla2E.tmp
19.07.2006 00:26 0 fla2F.tmp
19.07.2006 00:27 0 fla30.tmp
24.07.2006 21:37 0 fla59.tmp
24.07.2006 21:45 0 fla5B.tmp
24.07.2006 21:46 0 fla5C.tmp
24.07.2006 21:53 0 fla63.tmp
23.07.2006 23:18 0 flaBA.tmp
23.07.2006 23:20 0 flaBE.tmp
01.08.2006 19:59 0 flaBF.tmp
23.07.2006 23:32 0 flaC8.tmp
17.12.2004 12:51 36.864 ICQInstall.exe
07.05.2006 19:12 32.855 ICQRT.dll
03.02.2005 17:30 5.739 ICQTIK.dll
24.07.2006 22:06 0 mq684.tmp
24.11.2005 01:15 79.377 qmgr.cab
24.11.2005 01:15 2.072 qmgr.inf
12.07.2006 22:09 450 QTInstallCode.log
12.07.2006 22:19 3.885 qtplugin.log
23.07.2006 00:13 <DIR> rb
15.07.2006 21:33 0 rj536.tmp
01.08.2006 19:47 31 searchurl_de_de.txt
19.01.2003 17:29 139.264 set15.tmp
14.07.2006 19:43 0 t071.tmp
23.07.2006 19:15 1.324.838 tmp.xpi
31.07.2006 21:37 0 vp352.tmp
31.07.2006 18:52 1.667.836 xesdfa4z.mpg
12.07.2006 22:07 <DIR> {0bedbd4e-2d34-47b5-9973-57e62b29307c}
12.07.2006 22:08 <DIR> {A7453632-F549-4DF9-979C-6B2689B4E920}
42 Datei(en) 10.204.544 Bytes
6 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Temp

01.08.2006 20:15 <DIR> .
01.08.2006 20:15 <DIR> ..
10.02.2003 18:41 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Temp

13.07.2006 00:00 <DIR> .
13.07.2006 00:00 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Programme

01.08.2006 20:16 <DIR> .
01.08.2006 20:16 <DIR> ..
05.02.2003 10:15 <DIR> Adobe
05.02.2003 10:17 <DIR> Ahead
31.07.2006 02:25 <DIR> AOL 7.0
12.07.2006 22:06 <DIR> ATI Technologies
05.02.2003 10:05 <DIR> AvRack
01.08.2006 19:48 <DIR> BearShare
09.02.2003 23:31 <DIR> Common Files
05.02.2003 09:29 <DIR> ComPlus Applications
10.02.2003 17:32 <DIR> CyberLink
05.02.2003 10:16 <DIR> DivX
12.07.2006 22:23 <DIR> DVD Shrink
05.02.2003 10:58 <DIR> EuroTool
25.07.2006 20:00 <DIR> FlashFXP
05.02.2003 14:01 <DIR> Gemeinsame Dateien
13.07.2006 00:05 <DIR> ICQLite
10.02.2003 03:06 <DIR> InstantCD+DVD
12.07.2006 20:46 <DIR> Internet Explorer
05.02.2003 10:40 <DIR> Managed DirectX (0900)
10.02.2003 17:33 <DIR> Medion Home CinemaXL
10.02.2003 03:58 <DIR> Medion Tools
12.07.2006 20:46 <DIR> Messenger
05.02.2003 11:30 <DIR> Microsoft AutoRoute
05.02.2003 11:38 <DIR> Microsoft Encarta
05.02.2003 09:31 <DIR> microsoft frontpage
05.02.2003 11:21 <DIR> Microsoft Office
05.02.2003 11:36 <DIR> Microsoft Picture It! 7
05.02.2003 11:21 <DIR> Microsoft Visual Studio
05.02.2003 11:24 <DIR> Microsoft Works
05.02.2003 11:15 <DIR> Microsoft Works Suite 2003
12.07.2006 20:46 <DIR> Movie Maker
01.08.2006 20:17 <DIR> Mozilla Firefox
05.02.2003 09:29 <DIR> MSN
05.02.2003 09:29 <DIR> MSN Gaming Zone
12.07.2006 22:20 <DIR> MSN Messenger
09.02.2003 23:32 <DIR> MUSICMATCH
12.07.2006 20:44 <DIR> NetMeeting
05.02.2003 09:29 <DIR> Online Services
05.02.2003 09:30 <DIR> Online-Dienste
12.07.2006 20:44 <DIR> Outlook Express
12.07.2006 22:09 <DIR> QuickTime
05.02.2003 14:01 <DIR> Real
05.02.2003 10:05 <DIR> Realtek Sound Manager
01.08.2006 19:07 <DIR> SFT Loader
05.02.2003 10:02 <DIR> SiSLan
25.07.2006 15:38 <DIR> Steam
01.08.2006 19:47 225.280 Uninstall My Global Search Bar.dll
12.07.2006 22:18 <DIR> VideoLAN
05.02.2003 14:02 <DIR> Viewpoint
05.02.2003 10:58 <DIR> Windows Journal Viewer
12.07.2006 20:46 <DIR> Windows Media Player
12.07.2006 20:44 <DIR> Windows NT
12.07.2006 22:19 <DIR> WinRAR
12.07.2006 22:19 <DIR> WinZip
10.02.2003 17:33 <DIR> X10 Hardware
05.02.2003 09:31 <DIR> xerox
12.07.2006 22:13 <DIR> XviD
01.08.2006 20:12 <DIR> Zango
1 Datei(en) 225.280 Bytes
58 Verzeichnis(se), 40.102.662.144 Bytes frei
Seitenanfang Seitenende
01.08.2006, 20:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Avenger

Zitat

Files to delete:

C:\Programme\Uninstall My Global Search Bar.dll
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\duh2fo3k.exe
**
poste das neue Log vom HijackThis

**
erstelle eine neu.bat - poste den text

Zitat

cd\
dir "C:\Programme\Zango" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 20:44
herra
Member

Themenstarter

Beiträge: 14
#7 log avenger, obwohl ich glaub du brauchst des gar net ;) :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jptbhkie

*******************

Script file located at: \??\C:\cseunxvt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Uninstall My Global Search Bar.dll deleted successfully.
File C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\duh2fo3k.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Hijack Log :


Logfile of HijackThis v1.99.1
Scan saved at 20:43:51, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hammr\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

neu.bat :



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Program Files

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
15.01.2003 18:16 897 iuctl.inf
15.05.2006 18:48 367 LegitCheckControl.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
22.06.2006 11:41 5.032 swflash.inf
5 Datei(en) 8.155 Bytes
0 Verzeichnis(se), 40.102.670.336 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp

01.08.2006 20:10 <DIR> .
01.08.2006 20:10 <DIR> ..
27.07.2006 03:49 255 1F1205F7.TMP
24.07.2006 22:08 0 1p9AC.tmp
12.07.2006 22:09 450.048 27b432.mst
24.07.2006 22:08 0 598AB.tmp
13.07.2006 00:24 0 77fA2.tmp
23.07.2006 21:47 0 8u95A.tmp
12.07.2006 21:58 4.562 ASPNETSetup_00000.log
13.07.2006 00:25 0 cncA3.tmp
31.07.2006 19:17 10.538 control.xml
12.07.2006 22:00 5.076.156 dd_netfx20MSI5897.txt
12.07.2006 22:01 18.094 dd_netfx20UI5897.txt
23.07.2006 21:47 0 dua5D.tmp
15.07.2006 22:59 1.351.680 duh2fo3k.exe
24.07.2006 22:09 0 dx6B3.tmp
24.07.2006 22:06 0 f9583.tmp
12.07.2006 22:16 <DIR> ff_temp
15.07.2006 17:08 0 fla27.tmp
19.07.2006 00:26 0 fla2E.tmp
19.07.2006 00:26 0 fla2F.tmp
19.07.2006 00:27 0 fla30.tmp
24.07.2006 21:37 0 fla59.tmp
24.07.2006 21:45 0 fla5B.tmp
24.07.2006 21:46 0 fla5C.tmp
24.07.2006 21:53 0 fla63.tmp
23.07.2006 23:18 0 flaBA.tmp
23.07.2006 23:20 0 flaBE.tmp
01.08.2006 19:59 0 flaBF.tmp
23.07.2006 23:32 0 flaC8.tmp
17.12.2004 12:51 36.864 ICQInstall.exe
07.05.2006 19:12 32.855 ICQRT.dll
03.02.2005 17:30 5.739 ICQTIK.dll
24.07.2006 22:06 0 mq684.tmp
24.11.2005 01:15 79.377 qmgr.cab
24.11.2005 01:15 2.072 qmgr.inf
12.07.2006 22:09 450 QTInstallCode.log
12.07.2006 22:19 3.885 qtplugin.log
23.07.2006 00:13 <DIR> rb
15.07.2006 21:33 0 rj536.tmp
01.08.2006 19:47 31 searchurl_de_de.txt
19.01.2003 17:29 139.264 set15.tmp
14.07.2006 19:43 0 t071.tmp
23.07.2006 19:15 1.324.838 tmp.xpi
31.07.2006 21:37 0 vp352.tmp
31.07.2006 18:52 1.667.836 xesdfa4z.mpg
12.07.2006 22:07 <DIR> {0bedbd4e-2d34-47b5-9973-57e62b29307c}
12.07.2006 22:08 <DIR> {A7453632-F549-4DF9-979C-6B2689B4E920}
42 Datei(en) 10.204.544 Bytes
6 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\Temp

01.08.2006 20:15 <DIR> .
01.08.2006 20:15 <DIR> ..
10.02.2003 18:41 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
2 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Temp

13.07.2006 00:00 <DIR> .
13.07.2006 00:00 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 40.102.666.240 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Programme

01.08.2006 20:16 <DIR> .
01.08.2006 20:16 <DIR> ..
05.02.2003 10:15 <DIR> Adobe
05.02.2003 10:17 <DIR> Ahead
31.07.2006 02:25 <DIR> AOL 7.0
12.07.2006 22:06 <DIR> ATI Technologies
05.02.2003 10:05 <DIR> AvRack
01.08.2006 19:48 <DIR> BearShare
09.02.2003 23:31 <DIR> Common Files
05.02.2003 09:29 <DIR> ComPlus Applications
10.02.2003 17:32 <DIR> CyberLink
05.02.2003 10:16 <DIR> DivX
12.07.2006 22:23 <DIR> DVD Shrink
05.02.2003 10:58 <DIR> EuroTool
25.07.2006 20:00 <DIR> FlashFXP
05.02.2003 14:01 <DIR> Gemeinsame Dateien
13.07.2006 00:05 <DIR> ICQLite
10.02.2003 03:06 <DIR> InstantCD+DVD
12.07.2006 20:46 <DIR> Internet Explorer
05.02.2003 10:40 <DIR> Managed DirectX (0900)
10.02.2003 17:33 <DIR> Medion Home CinemaXL
10.02.2003 03:58 <DIR> Medion Tools
12.07.2006 20:46 <DIR> Messenger
05.02.2003 11:30 <DIR> Microsoft AutoRoute
05.02.2003 11:38 <DIR> Microsoft Encarta
05.02.2003 09:31 <DIR> microsoft frontpage
05.02.2003 11:21 <DIR> Microsoft Office
05.02.2003 11:36 <DIR> Microsoft Picture It! 7
05.02.2003 11:21 <DIR> Microsoft Visual Studio
05.02.2003 11:24 <DIR> Microsoft Works
05.02.2003 11:15 <DIR> Microsoft Works Suite 2003
12.07.2006 20:46 <DIR> Movie Maker
01.08.2006 20:17 <DIR> Mozilla Firefox
05.02.2003 09:29 <DIR> MSN
05.02.2003 09:29 <DIR> MSN Gaming Zone
12.07.2006 22:20 <DIR> MSN Messenger
09.02.2003 23:32 <DIR> MUSICMATCH
12.07.2006 20:44 <DIR> NetMeeting
05.02.2003 09:29 <DIR> Online Services
05.02.2003 09:30 <DIR> Online-Dienste
12.07.2006 20:44 <DIR> Outlook Express
12.07.2006 22:09 <DIR> QuickTime
05.02.2003 14:01 <DIR> Real
05.02.2003 10:05 <DIR> Realtek Sound Manager
01.08.2006 19:07 <DIR> SFT Loader
05.02.2003 10:02 <DIR> SiSLan
25.07.2006 15:38 <DIR> Steam
01.08.2006 19:47 225.280 Uninstall My Global Search Bar.dll
12.07.2006 22:18 <DIR> VideoLAN
05.02.2003 14:02 <DIR> Viewpoint
05.02.2003 10:58 <DIR> Windows Journal Viewer
12.07.2006 20:46 <DIR> Windows Media Player
12.07.2006 20:44 <DIR> Windows NT
12.07.2006 22:19 <DIR> WinRAR
12.07.2006 22:19 <DIR> WinZip
10.02.2003 17:33 <DIR> X10 Hardware
05.02.2003 09:31 <DIR> xerox
12.07.2006 22:13 <DIR> XviD
01.08.2006 20:12 <DIR> Zango
1 Datei(en) 225.280 Bytes
58 Verzeichnis(se), 40.102.662.144 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\Programme\Zango

01.08.2006 20:12 <DIR> .
01.08.2006 20:12 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 40.102.309.888 Bytes frei
Seitenanfang Seitenende
01.08.2006, 21:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe

2.
PC neustarten

3.
loesche
C:\Programme\Zango
und die backups vom Avenger

**
dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.08.2006, 21:57
herra
Member

Themenstarter

Beiträge: 14
#9 so ist es auch

super, tausend dank!!! ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1