Lästiger Trojaner PurityScanThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.08.2006, 19:47
...neu hier
Beiträge: 7 |
||
|
||
11.08.2006, 00:11
Ehrenmitglied
Beiträge: 29434 |
#2
HowardKöln
poste bitte zu Beginn diese Logs http://board.protecus.de/t23187.htm ich checke dein System mal durch, es werden einige Logs vonnoeten sein, aber in der Regel bekommt man den Purityscan geloescht __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2006, 01:27
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo Sabina, zunächst vielen Dank für Deine Antwort, hier das Logfile:
Logfile of HijackThis v1.99.1 Scan saved at 01:16:57, on 11.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\Programme\Eset\nod32kui.exe C:\Prog\mp3\Winamp5.9\winampa.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Prog\Internet\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Prog\Pocket-PC\ActiveSync\wcescomm.exe C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe C:\Prog\POCKET~1\ACTIVE~1\rapimgr.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Prog\Antivir\ewido anti-spyware 4.0\guard.exe C:\Prog\tools\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Eset\nod32krn.exe C:\Prog\tools\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Prog\tools\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\Prog\Internet\T-DSL SpeedManager\tsmsvc.exe C:\Prog\Internet\Thunderbird\thunderbird.exe C:\PROG\INTERNET\FIREFOX\FIREFOX.EXE C:\Prog\büro\Acrobat Reader 7.0\Reader\AcroRd32.exe D:\aktuelle Downloads\Software\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://169.254.217.225:3128/ken.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Prog\Internet\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Prog\büro\Acrobat Reader 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0F2CBF4F-06A5-027B-F4EF-01D5F87DEAC8} - (no file) O2 - BHO: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll O2 - BHO: (no name) - {E031C467-7683-200C-DFFD-2517B48A5ECE} - (no file) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Prog\Internet\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [WinampAgent] C:\Prog\mp3\Winamp5.9\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Prog\Internet\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Prog\tools\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKCU\..\Run: [Psrr] "C:\DOKUME~1\Howard\EIGENE~1\SMBOLS~1\spoolsv.exe" -vt yazb O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Prog\Pocket-PC\ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Iiwhqyc] C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ? O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Prog\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Prog\POCKET~1\ACTIVE~1\INetRepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Prog\Internet\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Prog\Internet\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {2C2CAD36-9E84-44D9-85E2-C3BE7054E53D} - C:\Prog\tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {2C2CAD36-9E84-44D9-85E2-C3BE7054E53D} - C:\Prog\tools\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://169.254.217.225:3128/ken.html O20 - AppInit_DLLs: NVDESK32.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: APUpdService - cobra GmbH - C:\WINDOWS\system32\APUpdService.exe O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Prog\Antivir\ewido anti-spyware 4.0\guard.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Prog\tools\Norton SystemWorks\Norton Ghost\GhostStartService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Prog\tools\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Prog\tools\NORTON~1\SPEEDD~1\nopdb.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Prog\Internet\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Prog\tools\TuneUp Utilities 2004\WinStylerThemeSvc.exe Start Time= 11.08.2006 2:00:33,30 QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-08-09 09:47:46 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll" 2006-08-07 15:38:20 2 ( A.... ) "C:\WINDOWS\system32\wintit.exe" 2006-08-07 15:38:18 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\W?nSxS" 2006-08-06 12:49:40 ( .D... ) "C:\Programme\Gemeinsame Dateien\ODBC" 2006-08-06 12:42:32 ( .D.H. ) "C:\Programme\WindowsUpdate" 2006-08-06 12:37:14 ( .D... ) "C:\Programme\ComPlus Applications" 2006-08-06 12:33:12 ( .D... ) "C:\Programme\Messenger" 2006-08-04 19:22:32 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft" 2006-07-31 18:38:56 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\ICQLite" 2006-07-28 11:22:42 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Google" 2006-07-26 18:40:32 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Apple Computer" 2006-07-26 16:11:18 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\Ulead Systems" 2006-07-26 16:04:44 ( .D... ) "C:\Programme\SmartSound Software" 2006-07-26 16:00:38 ( .D... ) "C:\Programme\Windows Media Components" 2006-07-26 11:20:22 157 ( A.... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\KSK2005.ini" 2006-07-25 21:41:44 139264 ( A.... ) "C:\WINDOWS\system32\soji.dll" 2006-07-25 19:51:00 114 ( A.... ) "C:\AUTOEXEC.BAT" 2006-07-25 19:29:24 ( .D... ) "C:\Programme\Pinnacle" 2006-07-22 11:55:54 ( .D... ) "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard" 2006-07-21 15:27:34 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\CyberLink" 2006-06-23 09:46:42 93664 ( A.SH. ) "C:\Programme\Gemeinsame Dateien\Y1304OU.exe" 2006-06-16 09:42:12 ( .D... ) "C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\vlc" 2006-05-20 16:44:10 15360 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-08-07 15:38 139.264 C:\WINDOWS\system32\soji.dll 2006-08-06 13:37 754.974.720 C:\pagefile.sys 2006-08-06 10:23 502.841.344 C:\hiberfil.sys 2006-07-26 19:00 49.250 C:\WINDOWS\system32\javaw.exe 2006-07-26 19:00 49.248 C:\WINDOWS\system32\java.exe 2006-07-26 19:00 127.078 C:\WINDOWS\system32\javaws.exe 2006-07-25 23:18 3.480 C:\WINDOWS\system32\mbmiodrvr.sys 2006-07-25 19:51 84.992 C:\WINDOWS\system32\ATL70.DLL 2006-07-25 19:47 964.608 C:\WINDOWS\system32\MFC70U.DLL 2006-07-25 19:47 54.784 C:\WINDOWS\system32\MSVCI70.DLL 2006-07-25 19:47 487.424 C:\WINDOWS\system32\MSVCP70.DLL 2006-07-20 11:04 2 C:\WINDOWS\system32\wintit.exe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Dit"="Dit.exe" "nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE" "WinampAgent"="C:\\Prog\\mp3\\Winamp5.9\\winampa.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "T-DSL SpeedMgr"="\"C:\\Prog\\Internet\\T-DSL SpeedManager\\SpeedMgr.exe\"" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "QuickTime Task"="\"C:\\Prog\\tools\\QuickTime\\qttask.exe\" -atboottime" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "Psrr"="\"C:\\DOKUME~1\\Howard\\EIGENE~1\\SMBOLS~1\\spoolsv.exe\" -vt yazb" "H/PC Connection Agent"="\"C:\\Prog\\Pocket-PC\\ActiveSync\\wcescomm.exe\"" "Iiwhqyc"="C:\\Dokumente und Einstellungen\\Howard\\Anwendungsdaten\\?icrosoft\\?srss.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "H/PC Connection Agent"="\"C:\\Prog\\Pocket-PC\\ActiveSync\\wcescomm.exe\"" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{0cab0400-7395-11d0-a5e5-0020afe2fdd9}"="" "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="apdproxy" "hkey"="HKLM" "command"="\"C:\\ProgGrafik\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="GhostStartTrayApp" "hkey"="HKLM" "command"="C:\\Prog\\tools\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KEN Taskbar Service] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="kentbsrv" "hkey"="HKLM" "command"="\"c:\\prog\\tools\\KEN\\kentbsrv.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NVIDIA nForce APU1 Utilities"="NVATray.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "T-DSL SpeedMgr"="\"C:\\Prog\\Internet\\T-DSL SpeedManager\\SpeedMgr.exe\"" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_01\\bin\\jusched.exe" "QuickTime Task"="\"C:\\Prog\\tools\\QuickTime\\qttask.exe\" -atboottime" "KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k" "ElbyCheckElbyCDFL"="c:\\prog\\brenner\\CloneCD\\ElbyCheck.exe /L ElbyCDFL" "GhostStartTrayApp"="C:\\Prog\\tools\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe" "Omnipage"="C:\\Prog\\büro\\OmniPageSE\\opware32.exe" HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system DisableRegistryTools REG_DWORD 0 (0x0) Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job C:\WINDOWS\tasks\XoftSpy.job Completion time: 11.08.2006 2:00:53,62 ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt ComboFix.2006-08-11.020033.txt Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\ 11.08.2006 02:14 0 sys.txt 11.08.2006 02:13 9.960 system.txt 11.08.2006 02:13 496 systemtemp.txt 11.08.2006 02:11 115.760 system32.txt 11.08.2006 02:05 502.841.344 hiberfil.sys 11.08.2006 02:05 754.974.720 pagefile.sys 06.08.2006 13:48 318 boot.ini 25.07.2006 19:50 114 AUTOEXEC.BAT 05.04.2006 10:34 1.024 .rnd 06.02.2006 13:30 443 Connection.Log 23.01.2006 15:36 429 datFind.bat 13.05.2005 11:28 0 CONFIG.SYS 13.05.2005 11:28 0 IO.SYS 13.05.2005 11:28 0 MSDOS.SYS 10.08.2004 14:00 4.952 bootfont.bin 10.08.2004 14:00 251.184 ntldr 10.08.2004 14:00 47.564 NTDETECT.COM 17 Datei(en) 1.258.248.308 Bytes 0 Verzeichnis(se), 30.148.739.072 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\WINDOWS\system32 11.08.2006 02:09 398.316 perfh009.dat 11.08.2006 02:09 60.414 perfc009.dat 11.08.2006 02:09 413.910 perfh007.dat 11.08.2006 02:09 73.838 perfc007.dat 11.08.2006 02:09 957.046 PerfStringBackup.INI 11.08.2006 02:04 141 imon1.dat 10.08.2006 19:34 2.278 wpa.dbl 09.08.2006 09:47 57.384 avsda.dll 07.08.2006 15:38 2 wintit.exe 26.07.2006 19:00 3.069 jupdate-1.5.0_02-b09.log 26.07.2006 16:12 196.960 FNTCACHE.DAT 25.07.2006 21:41 139.264 soji.dll 20.05.2006 Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\WINDOWS 11.08.2006 02:06 289.851 WindowsUpdate.log 11.08.2006 02:05 0 0.log 11.08.2006 02:05 159 wiadebug.log 11.08.2006 02:05 50 wiaservc.log 11.08.2006 02:05 2.048 bootstat.dat 11.08.2006 02:04 32.596 SchedLgU.Txt 11.08.2006 02:01 385.127 setupact.log 06.08.2006 10:18 1.302.404 ntbtlog.txt 03.08.2006 20:01 143 NeroDigital.ini 02.08.2006 11:50 155 winamp.ini 01.08.2006 12:04 4.359 ODBCINST.INI 30.07.2006 12:27 19 install_Studio10.log 30.07.2006 12:24 13.162 wmsetup.log 26.07.2006 16:03 1.227.741 setupapi.log 25.07.2006 19:58 22 VFO.INI 12.06.2006 11:30 25.713 CSTBox.INI 07.06.2006 18:23 2.518 Microsoft.MIF 22.05.2006 11:57 116 homeDVD-Fotos4_5_dlx.INI 22.05.2006 09:57 85 magix.ini 17.05.2006 09:52 611 win.ini 17.05.2006 09:52 227 system.ini 03.05.2006 17:19 454 nsw.log 15.04.2006 22:05 0 homeDVD-Fotos5.INI Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\DOKUME~1\Howard\LOKALE~1\Temp 11.08.2006 02:09 240 WcesView.log 11.08.2006 02:08 16.384 Perflib_Perfdata_4a8.dat 11.08.2006 02:05 819 WCESLog.log 11.08.2006 02:05 375 WCESCOMM.LOG 11.08.2006 02:05 408 jusched.log 5 Datei(en) 18.226 Bytes 0 Verzeichnis(se), 30.148.763.648 Bytes frei Ich hoffe ich habe Dir alle erforderlichen Logs erstellt und Du kannt damit was anfangen. Offenbar habe ich auch ein Problem mit einer sog. cmd.exe, welche sich System32-Verzeichnis befindet und sich auch nach beenden des Prozesses nicht löschen läßt. Die Pfade kenne ich nicht genau, manchmal ist es der Papierkorb, manchmal ein Verzeichnis unter Dokumente und Einstellungen. Ich werde sie in Zukunft notieren. Ich habe zwei printscreens von Viruswarnungen gemacht, wie kann ich sie Dir mailen? MFG Howard aus Köln Dieser Beitrag wurde am 11.08.2006 um 02:25 Uhr von HowardKöln editiert.
|
|
|
||
11.08.2006, 10:23
Ehrenmitglied
Beiträge: 29434 |
#4
ich brauche keine Viruswarnungen zu sehen, ich sehe die viren von hier
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.08.2006, 11:05
...neu hier
Themenstarter Beiträge: 7 |
#5
Hallo Sabina,
hier folgt der Text der Listen.bat Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Programme\WindowsUpdate Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Windows\System32\Com 13.05.2005 11:16 <DIR> . 13.05.2005 11:16 <DIR> .. 10.08.2004 14:00 195.584 comadmin.dll 10.08.2004 14:00 61.440 comempty.dat 10.08.2004 14:00 77.348 comexp.msc 10.08.2004 14:00 9.728 comrepl.exe 10.08.2004 14:00 5.120 comrereg.exe 10.08.2004 14:00 19.456 mtsadmin.tlb 6 Datei(en) 368.676 Bytes 2 Verzeichnis(se), 30.136.549.376 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\WINDOWS\system32 Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 04.10.2004 18:21 1.706.800 gdiplus.dll 04.10.2004 18:21 283.296 IDrop.ocx 04.10.2004 18:21 114.848 IDropENU.dll 19.09.2003 15:22 299.008 isusweb.dll 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 04.10.2004 18:21 114.688 vizable.ocx 8 Datei(en) 2.740.986 Bytes 0 Verzeichnis(se), 30.136.545.280 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Programme\Common Files 08.11.2005 18:50 <DIR> . 08.11.2005 18:50 <DIR> .. 08.11.2005 18:50 <DIR> Borland Shared 14.05.2005 19:37 <DIR> Microsoft Shared 0 Datei(en) 0 Bytes 4 Verzeichnis(se), 30.136.545.280 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Dokumente und Einstellungen\Howard\Eigene Dateien 09.08.2006 17:18 <DIR> . 09.08.2006 17:18 <DIR> .. 28.11.2005 16:45 <DIR> Corel User Files 21.07.2006 15:27 <DIR> CyberLink 25.07.2006 19:58 <DIR> Eigene Bilder 27.11.2005 14:37 <DIR> Eigene eBooks 22.05.2006 11:58 <DIR> Eigene Musik 16.02.2006 17:32 <DIR> Eigene Videos 31.07.2006 18:42 <DIR> ICQ Lite 22.05.2006 10:09 <DIR> My MAGIX Online Druck Service Files 05.03.2006 17:46 <DIR> NeroVision 30.01.2006 11:04 <DIR> ScheduleOCR Input 30.01.2006 11:04 <DIR> ScheduleOCR Output 26.07.2006 16:11 <DIR> Ulead VideoStudio 27.11.2005 18:55 <DIR> Updater 20.07.2006 11:04 <DIR> ??stem 03.08.2006 19:04 <DIR> ?racle 0 Datei(en) 0 Bytes 17 Verzeichnis(se), 30.136.545.280 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\ Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Dokumente und Einstellungen\Howard\Lokale Einstellungen\Temp 11.08.2006 11:02 <DIR> . 11.08.2006 11:02 <DIR> .. 11.08.2006 10:17 23.388 3-8-06_camd.rar 11.08.2006 10:19 612 jusched.log 11.08.2006 10:20 <DIR> Ocpr 11.08.2006 02:08 16.384 Perflib_Perfdata_4a8.dat 11.08.2006 10:50 16.384 Perflib_Perfdata_cc0.dat 11.08.2006 10:19 375 WCESCOMM.LOG 11.08.2006 02:05 1.229 WCESLog.log 11.08.2006 10:21 432 WcesView.log 7 Datei(en) 58.804 Bytes 3 Verzeichnis(se), 30.136.545.280 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\WINDOWS\Temp 11.08.2006 11:02 <DIR> . 11.08.2006 11:02 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 30.136.541.184 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Temp 05.02.2006 19:59 <DIR> . 05.02.2006 19:59 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 30.136.541.184 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Programme 06.08.2006 12:43 <DIR> . 06.08.2006 12:43 <DIR> .. 07.11.2005 11:43 <DIR> Accoona 23.03.2006 11:31 <DIR> Adobe 09.08.2006 16:35 <DIR> AntiVir PersonalEdition Classic 13.05.2005 19:08 <DIR> Application X 08.11.2005 18:50 <DIR> BDE5 08.11.2005 18:50 <DIR> Common Files 06.08.2006 12:37 <DIR> ComPlus Applications 25.07.2006 22:37 <DIR> CyberLink 17.04.2006 12:07 <DIR> devolo 02.06.2006 14:32 <DIR> EPSON 14.04.2006 08:13 <DIR> Eset 28.08.2005 12:21 <DIR> FlowFact 06.08.2006 12:49 <DIR> Gemeinsame Dateien 28.11.2005 13:44 <DIR> Hewlett-Packard 07.06.2006 13:47 <DIR> ifap 05.04.2006 11:22 <DIR> Internet Explorer 26.07.2006 19:00 <DIR> Java 22.05.2006 10:11 <DIR> MAGIX Online Druck Service 06.08.2006 12:33 <DIR> Messenger 13.05.2005 11:29 <DIR> microsoft frontpage 13.05.2005 11:34 <DIR> Movie Maker 19.04.2006 16:02 <DIR> MSN 13.05.2005 11:13 <DIR> MSN Gaming Zone 06.08.2006 12:40 <DIR> NetMeeting 13.05.2005 11:16 <DIR> Online Services 13.05.2005 11:25 <DIR> Online-Dienste 13.05.2005 11:34 <DIR> Outlook Express 27.04.2006 19:12 <DIR> Pegasys Inc 25.07.2006 19:29 <DIR> Pinnacle 14.03.2006 19:12 <DIR> POI-Warner MN5 Edition 23.10.2005 09:08 <DIR> Quicken2003 11.03.2006 12:33 <DIR> Quicken2006 26.07.2006 16:04 <DIR> SmartSound Software 23.10.2005 13:01 <DIR> Sybase 06.02.2006 20:07 <DIR> Symantec 02.07.2005 11:04 <DIR> Syncrosoft 30.08.2005 16:21 <DIR> Tracker Software 26.07.2006 16:00 <DIR> Windows Media Components 06.08.2006 12:46 <DIR> Windows Media Player 13.05.2005 11:12 <DIR> Windows NT 13.05.2005 11:15 <DIR> Windows Plus 13.05.2005 11:29 <DIR> xerox 23.03.2006 11:44 <DIR> Yahoo! 0 Datei(en) 0 Bytes 45 Verzeichnis(se), 30.136.541.184 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Dokumente und Einstellungen\Howard\Lokale Einstellungen\Anwendungsdaten 07.11.2005 13:42 <DIR> Adobe 26.07.2006 18:40 <DIR> Apple Computer 16.02.2006 17:27 <DIR> ApplicationHistory 15.04.2006 22:55 26.112 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 13.05.2005 12:28 139 fusioncache.dat 28.07.2006 12:11 57.904 GDIPFONTCACHEV1.DAT 28.07.2006 11:26 <DIR> Google 15.05.2005 13:48 <DIR> Help 20.05.2005 11:37 <DIR> Identities 22.01.2006 17:48 <DIR> Microsoft 18.12.2005 11:51 <DIR> RadonLabs 27.01.2006 18:11 <DIR> ratDVD 15.05.2005 20:39 <DIR> Roxio 26.07.2006 18:59 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150020} 3 Datei(en) 84.155 Bytes 11 Verzeichnis(se), 30.136.541.184 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Dokumente und Einstellungen\Howard\Anwendungsdaten 18.03.2006 11:35 2.508 $_hpcst$.hpc 04.05.2006 12:24 <DIR> Adobe 23.03.2006 11:46 1.557 AdobeDLM.log 12.03.2006 19:32 <DIR> AdobeUM 23.11.2005 13:16 <DIR> Ahead 26.07.2006 18:40 <DIR> Apple Computer 02.10.2005 13:17 <DIR> Atari 12.06.2006 11:35 <DIR> Canon 27.01.2006 18:23 <DIR> CopyToDvd 21.11.2005 14:29 <DIR> Corel 21.07.2006 15:27 <DIR> CyberLink 30.06.2005 10:22 <DIR> DataDesign 23.03.2006 11:46 0 dm.ini 28.07.2006 11:22 <DIR> Google 15.05.2005 13:48 <DIR> Help 31.07.2006 18:42 <DIR> ICQLite 13.05.2005 11:36 <DIR> Identities 28.04.2006 09:35 <DIR> InstallShield Installation Information 26.07.2006 11:20 157 KSK2005.ini 17.05.2006 09:48 <DIR> Leadertech 04.11.2005 19:21 <DIR> Macromedia 22.05.2006 11:57 <DIR> MAGIX 07.10.2005 20:07 <DIR> Microsoft Games 13.05.2005 13:00 <DIR> Mozilla 07.11.2005 13:35 <DIR> Opera 13.06.2005 10:36 <DIR> pdfMachine 24.05.2005 09:35 <DIR> Pegasys Inc 15.05.2005 20:42 <DIR> Roxio 25.01.2006 21:04 <DIR> ScanSoft 19.06.2005 12:49 <DIR> Sun 21.09.2005 18:48 <DIR> Symantec 20.05.2006 15:35 <DIR> T-DSL SpeedManager 23.05.2005 11:42 <DIR> Thunderbird 20.05.2005 10:23 <DIR> TuneUp Software 26.07.2006 16:11 <DIR> Ulead Systems 16.06.2006 09:42 <DIR> vlc 07.08.2006 15:38 <DIR> W?nSxS 07.08.2006 15:38 <DIR> ?icrosoft 4 Datei(en) 4.222 Bytes 34 Verzeichnis(se), 30.136.537.088 Bytes frei Datentr„ger in Laufwerk C: ist 40 GB Volumeseriennummer: CCE0-F96D Verzeichnis von C:\Programme\Gemeinsame Dateien 06.08.2006 12:49 <DIR> . 06.08.2006 12:49 <DIR> .. 23.03.2006 11:40 <DIR> Adobe 08.11.2005 14:32 <DIR> Adobe Systems Shared 13.05.2005 12:46 <DIR> Ahead 05.04.2006 10:32 <DIR> AVM 25.06.2005 11:47 <DIR> Buhl Data Service 30.06.2005 08:14 <DIR> cobra 21.11.2005 14:10 <DIR> Corel 25.06.2005 11:47 <DIR> datadesign 21.11.2005 14:10 <DIR> Designer 13.05.2005 11:24 <DIR> Dienste 02.12.2005 21:39 <DIR> EPSON 21.11.2005 14:10 <DIR> InstallShield 19.06.2005 12:47 <DIR> Java 01.08.2006 12:04 <DIR> Lexware 15.04.2006 22:01 <DIR> MAGIX Shared 18.03.2006 11:32 <DIR> Microsoft Shared 13.05.2005 11:24 <DIR> MSSoap 06.08.2006 12:49 <DIR> ODBC 16.05.2005 11:47 <DIR> ROXIO Shared 25.10.2005 10:21 <DIR> Sage Group 10.12.2005 19:34 <DIR> Sage KHK Shared 09.03.2006 09:59 <DIR> ScanSoft Shared 13.05.2005 11:26 <DIR> SpeechEngines 10.02.2006 18:30 <DIR> Symantec Shared 13.05.2005 11:34 <DIR> System 22.07.2006 11:55 <DIR> Wise Installation Wizard 0 Datei(en) 0 Bytes 28 Verzeichnis(se), 30.136.537.088 Bytes frei MFG Howard aus Köln |
|
|
||
11.08.2006, 11:18
Ehrenmitglied
Beiträge: 29434 |
#6
1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {CE12BBF3-0919-5593-4E25-5810942827C6} - C:\WINDOWS\system32\soji.dll2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT43. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 4. Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html 5. Loeschen am besten im abgesicherten modus: C:\Dokumente und Einstellungen\Howard\Eigene Dateien\ 20.07.2006 11:04 <DIR> ??stem 03.08.2006 19:04 <DIR> ?racle C:\Dokumente und Einstellungen\Howard\Anwendungsdaten 07.08.2006 15:38 <DIR> W?nSxS 07.08.2006 15:38 <DIR> ?icrosoft C:\Programme\WindowsUpdate Beispiel, wie sich der purityscan darstellt: du musst also hauptsaechlich nach Datum suchen............... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.08.2006, 16:55
...neu hier
Themenstarter Beiträge: 7 |
#7
Hallo Sabina,
Hijackthis findet beim scan die Einträge: O4 - HKCU\..\Run: [Psrr] "C:\DOKUME~1\Howard\EIGENE~1\SMBOLS~1\spoolsv.exe" -vt yazb O4 - HKCU\..\Run: [Iiwhqyc] C:\Dokumente und Einstellungen\Howard\Anwendungsdaten\?icrosoft\?srss.exe nicht, ich kann also kein Häkchen setzen. Liebe Grüße Howard aus Köln |
|
|
||
12.08.2006, 17:18
Ehrenmitglied
Beiträge: 29434 |
#8
na ja, ich hatte es in die REGEDIT4 mit reingepackt
Ist also schon geloescht. Und, ist der purityscan besiegt ???? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.08.2006, 19:30
...neu hier
Themenstarter Beiträge: 7 |
#9
Hallo Sabina,
ich habe nun alles gemacht, wie Du es vorgeschlagen hast. Ob das Ding jetzt erledigt ist kann ich noch nicht sagen, werde es Dir aber in einigen Tagen mitteilen. Auf jeden Fall vielen Dank für Deine Hilfe. MFG Howard aus Köln |
|
|
||
12.08.2006, 19:50
Ehrenmitglied
Beiträge: 29434 |
#10
du kannst es ueberpruefen.
Onlinevirenscans http://virus-protect.org/onlinescan.html kopiere die scanreporte hier, wenn was gefunden wird, z.B. von Panda, von kaspersky, Bitdefender...usw. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.08.2006, 11:38
...neu hier
Themenstarter Beiträge: 7 |
#11
Hallo Sabina,
bevor ich heute morgen Deine neue Nachricht lesen konnte hatte ich leider schon wieder eine Meldung von NOD32. Datei: c:\System Volume Information\_restore-(9601CDF1-4AB5-478C....\A0316335.dll Thread: eine Variante von Win32/Adware.PurityScan Anwendung Kommentar: Versuch Datei zu erstellen durch: C:\Windows\System32\svchost.exe. Die Datein wurde in Quaratäne verschoben usw.... Ich werde nun Deinen Tip erledigen. |
|
|
||
13.08.2006, 13:16
Ehrenmitglied
Beiträge: 29434 |
#12
HowardKöln
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 2. multiavtool http://virus-protect.org/multiavtool.html * klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster. bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein - man muss eingeben, was gescannt werden soll - C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen: - C:\Windows - C:\ * klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.09.2006, 21:08
...neu hier
Themenstarter Beiträge: 7 |
#13
Hallo Sabina,
nach längeren Testläufen muß ich sagen: Ich bin das Ding los, dank Deiner Hilfe. Vielen, vielen Dank. Gruß Howard |
|
|
||
ich habe einen lästigen Trojaner auf dem Rechner, den ich weder mit Ewido, NOD 32 noch mit Antivir loswerde. Habe den Rechner im abgesicherten Modus gescannt und es wurden auch einige Infektionen erkannt und beseitigt. Dennoch taucht das Ding immer wieder auf. Im Moment möchte ich eine Neuinstallation von Windows XP irgendwie vermeiden. Die Seite von Sabina virus protect ist mir zu kompliziert.
Vieleicht kann mir jemand Schritt für Schritt weiterhelfen.
Vorerst vielen Dank
Howard aus Köln