Killandclean & merkwürdige Toolbar hat sich unbemerkt installiert |
||
---|---|---|
#0
| ||
16.08.2006, 22:17
...neu hier
Beiträge: 9 |
||
|
||
16.08.2006, 22:55
Ehrenmitglied
Beiträge: 29434 |
#2
aqua57
Information: killandclean http://virus-protect.org/artikel/spyware/killandclean.html http://virus-protect.org/artikel/spyware/killandclean_remove.html ----------------------------------------------------------------------- ich brauche folgende Logs Hijackthis http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" ------ fixwareout - poste den report http://virus-protect.org/artikel/tools/fixwareout.html ------ poste den report http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei ----- stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html ----- Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.08.2006, 23:11
...neu hier
Themenstarter Beiträge: 9 |
#3
OK, habe alles verstanden und mal bei meinem PC testweise laufen lassen.
Ich melde mich dann am besten mit den Logs, wenn ich an seinem Rechner bin. Wann würde es dir denn passen, dass du hier antworten könntest Sabina? Mir wäre es ja das liebste, das Vorgehen hier genau abzustimmen, weil ihr ja echt Ahnung habt und nach der Auswertung der Logs die Schritte zur Bereinigung seines Systems ja erst noch folgen. Dieser Beitrag wurde am 17.08.2006 um 01:39 Uhr von aqua57 editiert.
|
|
|
||
17.08.2006, 12:43
Ehrenmitglied
Beiträge: 29434 |
#4
poste einfach die logs alle hier ein, ich werde dann per mail beanchrichtigt, wenn ich online bin..und gebe allen weiteren Anweisungen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.08.2006, 21:42
...neu hier
Themenstarter Beiträge: 9 |
#5
1. Hijackthislog:
Logfile of HijackThis v1.99.1 Scan saved at 21:38:30, on 17.08.06 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINDOWS\EXPLORER.EXE C:\PCFWIN.EXE C:\MLT1100L\wswpd.exe C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\COREL\OFFICE7\SHARED\PFIT7\PFPPOP70.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R3 - URLSearchHook: (no name) - {D802B30E-4835-8123-4BFC-443F5E4390AC} - ERTYDF.dll (file missing) F1 - win.ini: load=C:\PCFMIN.EXE C:\WINDOWS\PCFMIN.EXE F1 - win.ini: run=C:\MLT1100L\WSWPD.EXE O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{3CABD003-088F-11DB-822B-00E04CEB6DEB}.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\{3CABD003-088F-11DB-822B-00E04CEB6DEB}.DLL (file missing) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickFinder Scheduler] C:\COREL\OFFICE7\SHARED\QFINDER7\QFSCHED.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [Minolta PageWorks/Pro 1100L] C:\MLT1100L\WSWPD.EXE O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\Run: [sysmon12] NsCplTray.exe O4 - HKLM\..\Run: [stuffmon] ERTYDF.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKLM\..\RunServices: [WinVNC4] "C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE" -noconsole -service O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe" O4 - HKCU\..\Run: [AppMasterCenter] Brong32.exe O4 - HKCU\..\Run: [ABCXYZ] ERTYDF.exe O4 - HKCU\..\Run: [qwe] TemplateDongle.exe O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU) O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\KillAndClean\KillAndClean.exe (HKCU) O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.116.139,85.255.112.7 2. Fixwareout: Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qdpmd Random Runs removed from HKLM "dmpdq.exe"=- "csolh.exe"=- ... PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be legitimate FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Search by size and names... »»»»» Misc files »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal C:\WINDOWS\SYSTEM\CSOLH.EXE 51.273 2006-06-30 C:\WINDOWS\SYSTEM\CSARV.EXE 51.273 2006-06-30 C:\WINDOWS\SYSTEM\DMPDQ.EXE 44.053 1998-05-15 3. Blacklight meldet Fehler: userenv.dll wurde nicht gefunden. 4. Cleanup! wurde durchgeführt und hat 270MB gelöscht. 5. datFind: Datentr„ger in Laufwerk C: WIN98 Seriennummer des Datentr„gers: 3F9A-A11D Verzeichnis von C:\WINDOWS\SYSTEM32 MFC71 DLL 1.060.864 04.07.05 9:51 mfc71.dll MSVCR71 DLL 348.160 04.07.05 9:51 msvcr71.dll FOLDER HTT 12.906 25.10.03 16:38 folder.htt DESKTOP INI 266 25.10.03 16:38 desktop.ini 4 Datei(en) 1.422.196 Bytes 0 Verzeichnis(se) 2.630.952.960 Bytes frei Datentr„ger in Laufwerk C: WIN98 Seriennummer des Datentr„gers: 3F9A-A11D Verzeichnis von C:\WINDOWS\TEMP WP}00001 TMP 0 17.08.06 22:28 WP}00001.TMP 1 Datei(en) 0 Bytes 0 Verzeichnis(se) 2.630.963.200 Bytes frei Datentr„ger in Laufwerk C: WIN98 Seriennummer des Datentr„gers: 3F9A-A11D Verzeichnis von C:\WINDOWS USER DAT 520.224 17.08.06 22:34 USER.DAT SYSTEM DAT 5.386.272 17.08.06 22:33 SYSTEM.DAT WIN386 SWP 100.663.296 17.08.06 22:33 WIN386.SWP SCHEDLOG TXT 32.702 17.08.06 22:28 SchedLog.Txt SYSTEM INI 1.954 17.08.06 22:28 SYSTEM.INI WAVEMIX INI 54 17.08.06 22:28 WAVEMIX.INI POWERPNT INI 60 17.08.06 22:28 POWERPNT.INI NDISLOG TXT 0 17.08.06 22:28 NDISLOG.TXT WININIT BAK 44 17.08.06 22:22 WININIT.BAK HOSTS SAM 21 17.08.06 22:08 hosts.sam HOSTS 44 17.08.06 22:08 hosts LUINST~1 LOG 504 17.08.06 22:04 LUINSTALL.LOG LURESULT TXT 100 17.08.06 22:04 LuResult.txt COMMAND PIF 967 17.08.06 21:06 command.PIF PFPJOBPR {PB 40.878 16.08.06 23:26 PFPJOBPR.{PB PFPJOBCM {PB 8.198 16.08.06 23:23 PFPJOBCM.{PB SUMO INI 1.385 16.08.06 23:21 sumo.ini WT61DE UWL 17.804 11.08.06 23:19 WT61DE.UWL TTFCACHE 11.118 11.08.06 0:15 ttfCache SHELLI~1 1.278.387 08.08.06 0:00 ShellIconCache WMPLIB~1 DB 225.280 06.08.06 22:54 wmplibrary_v_0_12.db WIN INI 7.982 06.08.06 22:54 WIN.INI WMSYSPRX PRX 288.880 06.08.06 22:54 WMSysPrx.prx TM INI 3.354 12.05.06 9:48 tm.ini TDF DII 120 12.05.06 9:46 tdf.dii WT61US UWL 546 29.03.06 23:27 WT61US.UWL HOSTS NEW 0 27.02.06 0:28 hosts.new CONTROL INI 1.017 23.02.06 22:33 CONTROL.INI SETUP LOG 303 23.02.06 22:17 SETUP.LOG WIN SGS 7.925 23.02.06 22:15 WIN.SGS MSINFO32 INI 0 28.01.06 14:38 MSINFO32.INI EVYPATHS BIN 10 01.10.05 22:06 evypaths.bin ODBC INI 1.198 19.06.05 22:47 ODBC.INI ODBCINST INI 3.111 19.06.05 22:47 ODBCINST.INI ACTIVE~1 TXT 10.387 19.06.05 22:43 Active Setup Log.txt WPLOG TXT 0 19.06.05 22:43 wplog.txt ACTIVE~1 BAK 6.193 19.06.05 22:37 Active Setup Log.BAK TMPDELIS BAT 122 05.05.05 23:43 tmpdelis.bat XOBGLU16 DLL 63.488 05.05.05 23:40 xobglu16.dll XOBGLU32 DLL 23.552 05.05.05 23:40 xobglu32.dll EVY 10.196 03.05.05 16:44 EVY MDACSET LOG 61.628 02.05.05 23:30 MDACSET.log STI_TR~1 LOG 0 23.03.05 16:39 Sti_Trace.log SYMEVENT LOG 3.083 02.03.05 0:23 SYMEVENT.LOG WSNCP INI 51 27.02.05 23:04 WSNCP.INI P2KROT~1 INI 0 31.01.05 15:31 P2kRotate.ini MISSING INI 231 27.01.05 22:44 Missing.ini CMOUSECC INI 468 20.07.04 23:35 Cmousecc.ini DOSSTART BAT 41 20.07.04 23:35 dosstart.bat QUICKTSK SDM 15.534 20.05.04 19:11 quicktsk.sdm SND531~1 TXT 59.620 13.05.04 22:50 SND531unin.txt SYSTEM CB 116 31.03.04 17:18 SYSTEM.CB QPW INI 454 25.10.03 21:35 qpw.ini NORTON~1 LOG 441 25.10.03 21:33 Norton Rescue.LOG MSSHLIB2 LOG 92 25.10.03 21:33 msshlib2.log BRNDLOG TXT 10.317 25.10.03 20:42 brndlog.txt OEWABLOG TXT 822 25.10.03 20:42 OEWABLog.txt BRNDLOG BAK 141 25.10.03 20:42 brndlog.bak RUNONC~1 TXT 23.623 25.10.03 20:42 RunOnceEx Log.txt MSIMGSIZ DAT 16.384 25.10.03 20:40 MSIMGSIZ.DAT REGTLIB EXE 40.960 25.10.03 20:37 REGTLIB.EXE WSCRIPT EXE 118.834 25.10.03 20:37 WSCRIPT.EXE HH EXE 10.752 25.10.03 20:36 hh.exe IESETU~1 TXT 114.829 25.10.03 20:36 IE Setup Log.Txt SETUP OLD 62 25.10.03 20:21 setup.old PROTOCOL INI 139 25.10.03 19:48 protocol.ini DIRECTX LOG 93.895 25.10.03 19:11 DirectX.log WININIT SAV 5.786 25.10.03 19:09 WININIT.SAV WINFILE INI 0 25.10.03 18:36 winfile.ini WINHELP INI 2.521 25.10.03 18:10 winhelp.ini WT61SD UWL 546 25.10.03 18:10 WT61SD.UWL MAPIUID INI 105 25.10.03 18:10 mapiuid.ini HANSMENG PWL 706 25.10.03 18:10 HANSMENG.PWL TELEPHON INI 225 25.10.03 16:38 TELEPHON.INI DEFAULT SFC 69.906 25.10.03 16:38 Default.sfc HWINFO DAT 127.008 25.10.03 16:38 HWINFO.DAT FOLDER HTT 12.906 25.10.03 16:38 folder.htt DESKTOP INI 266 25.10.03 16:38 desktop.ini PROGMAN INI 0 25.10.03 16:37 progman.ini QTW INI 28 25.10.03 16:24 QTW.INI MSOFFICE INI 26 25.10.03 16:24 MSOFFICE.INI SETVER EXE 19.131 25.10.03 16:24 SETVER.EXE HIDCI DLL 3.216 25.10.03 16:23 HIDCI.DLL PIDGEN DLL 27.584 25.10.03 16:21 PIDGEN.DLL WINSOCK DLL 21.504 25.10.03 16:21 WINSOCK.DLL EXTRAC32 EXE 132.608 29.08.02 0:00 EXTRAC32.EXE GRPCONV EXE 38.160 29.08.02 0:00 GRPCONV.EXE MSP501W INI 386 17.01.00 15:37 msp501w.ini UNVISE~1 EXE 86.016 05.01.00 0:20 unvise32qt.exe MSDFMAP INI 1.405 12.01.99 19:53 MSDFMAP.INI ISUN0407 EXE 328.704 17.11.98 14:44 IsUn0407.exe ISUNINST EXE 306.688 29.10.98 15:45 IsUninst.exe DEFAULT SF0 69.892 19.05.98 9:46 Default.sf0 SMARTDRV EXE 45.379 15.05.98 20:01 SMARTDRV.EXE HWINFO EXE 114.688 15.05.98 20:01 HWINFO.EXE NETDET INI 7.885 15.05.98 20:01 NETDET.INI HIMEM SYS 33.447 15.05.98 20:01 HIMEM.SYS RAMDRIVE SYS 12.823 15.05.98 20:01 RAMDRIVE.SYS PROTOCOL 822 15.05.98 20:01 PROTOCOL LICENSE TXT 26.506 15.05.98 20:01 LICENSE.TXT SUPPORT TXT 933 15.05.98 20:01 SUPPORT.TXT LOGOS SYS 129.078 15.05.98 20:01 LOGOS.SYS LOGOW SYS 129.080 15.05.98 20:01 LOGOW.SYS 1STBOOT BMP 1.518 15.05.98 20:01 1STBOOT.BMP KREISE BMP 190 15.05.98 20:01 Kreise.bmp WELLEN BMP 190 15.05.98 20:01 Wellen.bmp STREIFEN BMP 578 15.05.98 20:01 Streifen.bmp KACHELN BMP 578 15.05.98 20:01 Kacheln.bmp SETUP BMP 308.280 15.05.98 20:01 Setup.bmp RUNHELP CAB 6.325 15.05.98 20:01 RUNHELP.CAB WIN COM 25.399 15.05.98 20:01 WIN.COM JAUTOEXP DAT 6.550 15.05.98 20:01 JAUTOEXP.DAT MORICONS DLL 84.416 15.05.98 20:01 MORICONS.DLL NDDEAPI DLL 14.327 15.05.98 20:01 NDDEAPI.DLL NDDENB DLL 10.976 15.05.98 20:01 NDDENB.DLL SCRIPT DOC 28.160 15.05.98 20:01 SCRIPT.DOC ASD EXE 61.440 15.05.98 20:01 ASD.EXE CLEANMGR EXE 131.072 15.05.98 20:01 CLEANMGR.EXE CLSPACK EXE 53.248 15.05.98 20:01 CLSPACK.EXE CONTROL EXE 2.151 15.05.98 20:01 CONTROL.EXE CVTAPLOG EXE 77.824 15.05.98 20:01 CVTAPLOG.EXE DEFRAG EXE 253.991 15.05.98 20:01 DEFRAG.EXE DOSREP EXE 89.147 15.05.98 20:01 DOSREP.EXE DRWATSON EXE 143.360 15.05.98 20:01 DRWATSON.EXE EMM386 EXE 126.695 15.05.98 20:01 EMM386.EXE EXPLORER EXE 180.224 15.05.98 20:01 EXPLORER.EXE FONTVIEW EXE 49.152 15.05.98 20:01 FONTVIEW.EXE JVIEW EXE 188.416 15.05.98 20:01 JVIEW.EXE MM2ENT EXE 32.768 15.05.98 20:01 MM2ENT.EXE MSNICON EXE 57.344 15.05.98 20:01 MSNICON.EXE NETDDE EXE 56.880 15.05.98 20:01 NETDDE.EXE NOTEPAD EXE 57.344 15.05.98 20:01 NOTEPAD.EXE PACKAGER EXE 81.920 15.05.98 20:01 PACKAGER.EXE PIDSET EXE 40.960 15.05.98 20:01 PIDSET.EXE PROGMAN EXE 114.039 15.05.98 20:01 PROGMAN.EXE REGEDIT EXE 122.880 15.05.98 20:01 REGEDIT.EXE RUNDLL EXE 5.191 15.05.98 20:01 RUNDLL.EXE RUNDLL32 EXE 24.576 15.05.98 20:01 RUNDLL32.EXE SCANDSKW EXE 5.051 15.05.98 20:01 SCANDSKW.EXE SCANREGW EXE 90.112 15.05.98 20:01 SCANREGW.EXE SETDEBUG EXE 53.248 15.05.98 20:01 SETDEBUG.EXE SIGVERIF EXE 131.072 15.05.98 20:01 SIGVERIF.EXE TASKMAN EXE 49.152 15.05.98 20:01 TASKMAN.EXE TASKMON EXE 28.672 15.05.98 20:01 TASKMON.EXE TUNEUP EXE 110.592 15.05.98 20:01 TUNEUP.EXE UPWIZUN EXE 57.344 15.05.98 20:01 UPWIZUN.EXE VCMUI EXE 45.056 15.05.98 20:01 VCMUI.EXE WELCOME EXE 282.624 15.05.98 20:01 WELCOME.EXE WINFILE EXE 158.039 15.05.98 20:01 WINFILE.EXE WINHELP EXE 2.519 15.05.98 20:01 WINHELP.EXE WINHLP32 EXE 323.584 15.05.98 20:01 WINHLP32.EXE WININIT EXE 42.181 15.05.98 20:01 WININIT.EXE WINREP EXE 442.368 15.05.98 20:01 WINREP.EXE WINVER EXE 3.751 15.05.98 20:01 WINVER.EXE WUPDMGR EXE 65.536 15.05.98 20:01 WUPDMGR.EXE BACKGRND GIF 103.582 15.05.98 20:01 BACKGRND.GIF CLOUD GIF 11.306 15.05.98 20:01 CLOUD.GIF CONTENT GIF 262 15.05.98 20:01 CONTENT.GIF HLPBELL GIF 1.407 15.05.98 20:01 HLPBELL.GIF HLPCD GIF 1.492 15.05.98 20:01 HLPCD.GIF HLPGLOBE GIF 1.603 15.05.98 20:01 HLPGLOBE.GIF HLPLOGO GIF 1.185 15.05.98 20:01 HLPLOGO.GIF HLPSTEP1 GIF 1.107 15.05.98 20:01 HLPSTEP1.GIF HLPSTEP2 GIF 1.154 15.05.98 20:01 HLPSTEP2.GIF HLPSTEP3 GIF 1.249 15.05.98 20:01 HLPSTEP3.GIF WINLOGO GIF 1.434 15.05.98 20:01 WINLOGO.GIF HTMLHELP HTM 520 15.05.98 20:01 HTMLHELP.HTM README HTM 613 15.05.98 20:01 README.HTM READM_01 HTZ 596 15.05.98 20:01 READM_01.HTZ READM_02 HTZ 4.666 15.05.98 20:01 READM_02.HTZ WINUPD ICO 10.134 15.05.98 20:01 WINUPD.ICO DOSREP INI 865 15.05.98 20:01 DOSREP.INI HTMLHELP INI 3.550 15.05.98 20:01 HTMLHELP.INI IOS INI 12.327 15.05.98 20:01 IOS.INI SCANREG INI 787 15.05.98 20:01 SCANREG.INI DOSPRMPT PIF 545 15.05.98 20:01 DOSPRMPT.PIF EXPLORER SCF 80 15.05.98 20:01 EXPLORER.SCF ASPI2HLP SYS 1.105 15.05.98 20:01 ASPI2HLP.SYS CMD640X SYS 24.626 15.05.98 20:01 CMD640X.SYS CMD640X2 SYS 20.901 15.05.98 20:01 CMD640X2.SYS DBLBUFF SYS 2.614 15.05.98 20:01 DBLBUFF.SYS IFSHLP SYS 3.708 15.05.98 20:01 IFSHLP.SYS ALLGEM TXT 47.017 15.05.98 20:01 ALLGEM.TXT ANTWORT TXT 15.618 15.05.98 20:01 ANTWORT.TXT ANZEIGE TXT 24.553 15.05.98 20:01 ANZEIGE.TXT CONFIG TXT 19.610 15.05.98 20:01 CONFIG.TXT DRUCKER TXT 27.834 15.05.98 20:01 DRUCKER.TXT HARDWARE TXT 45.945 15.05.98 20:01 HARDWARE.TXT MAUS TXT 6.664 15.05.98 20:01 MAUS.TXT MSDOSDRV TXT 50.362 15.05.98 20:01 MSDOSDRV.TXT NETZWERK TXT 40.845 15.05.98 20:01 NETZWERK.TXT PROGRAMM TXT 55.821 15.05.98 20:01 PROGRAMM.TXT SFCSYNC TXT 1.735 15.05.98 20:01 SFCSYNC.TXT TIPS TXT 16.073 15.05.98 20:01 TIPS.TXT CONFDENT CPE 4.627 15.05.98 20:01 CONFDENT.CPE FYI CPE 4.878 15.05.98 20:01 FYI.CPE GENERIC CPE 6.366 15.05.98 20:01 GENERIC.CPE URGENT CPE 4.772 15.05.98 20:01 URGENT.CPE CALC EXE 94.208 15.05.98 20:01 CALC.EXE MPLAYER EXE 159.744 15.05.98 20:01 MPLAYER.EXE PBRUSH EXE 20.480 15.05.98 20:01 PBRUSH.EXE RG2CATDB EXE 40.960 15.05.98 20:01 RG2CATDB.EXE SNDVOL32 EXE 69.632 15.05.98 20:01 SNDVOL32.EXE WRITE EXE 20.480 15.05.98 20:01 WRITE.EXE TOUR98 EXE 188.416 15.05.98 20:01 TOUR98.EXE SERVICES TXT 3.204 15.05.98 20:01 SERVICES.TXT COMMAND COM 96.360 15.05.98 20:01 COMMAND.COM SERVICES 6.032 15.05.98 20:01 SERVICES SNMPAPI DLL 32.768 15.05.98 20:01 SNMPAPI.DLL NETWORKS 466 15.05.98 20:01 NETWORKS MS-DOS~1 PIF 3.181 15.05.98 20:01 MS-DOS-Modus fr Spiele.pif MS-DOS~2 PIF 3.372 15.05.98 20:01 MS-DOS-Modus fr Spiele mit EMS- und XMS-Untersttzung.pif STROHM~1 BMP 590 15.05.98 20:01 Strohmatte.bmp KUGELN BMP 2.118 15.05.98 20:01 Kugeln.bmp ŽGYPTEN BMP 582 15.05.98 20:01 Žgypten.bmp HAHNEN~1 BMP 470 15.05.98 20:01 Hahnentritt.bmp DREIECKE BMP 198 15.05.98 20:01 Dreiecke.bmp BLAUEN~1 BMP 194 15.05.98 20:01 Blaue Noppen.bmp SCHWAR~1 BMP 182 15.05.98 20:01 Schwarzes Geflecht.bmp CHANNE~1 SCR 84.544 15.05.98 20:01 Channelbildschirmschoner.SCR ARP EXE 28.672 15.05.98 20:01 ARP.EXE FTP EXE 45.056 15.05.98 20:01 FTP.EXE LMHOSTS SAM 3.717 15.05.98 20:01 LMHOSTS.SAM NETSTAT EXE 32.768 15.05.98 20:01 NETSTAT.EXE PING EXE 28.672 15.05.98 20:01 PING.EXE ROUTE EXE 32.768 15.05.98 20:01 ROUTE.EXE TELNET EXE 77.824 15.05.98 20:01 TELNET.EXE TRACERT EXE 20.480 15.05.98 20:01 TRACERT.EXE WINIPCFG EXE 53.248 15.05.98 20:01 WINIPCFG.EXE IPCONFIG EXE 53.248 15.05.98 20:01 IPCONFIG.EXE NBTSTAT EXE 34.543 15.05.98 20:01 NBTSTAT.EXE INETMIB1 DLL 53.248 15.05.98 20:01 INETMIB1.DLL PROTMAN DOS 22.810 15.05.98 20:01 PROTMAN.DOS PROTMAN EXE 14.952 15.05.98 20:01 PROTMAN.EXE NDISHLP SYS 6.140 15.05.98 20:01 NDISHLP.SYS NET EXE 356.134 15.05.98 20:01 NET.EXE NET MSG 117.024 15.05.98 20:01 NET.MSG NETH MSG 74.001 15.05.98 20:01 NETH.MSG WINPOPUP EXE 28.299 15.05.98 20:01 WINPOPUP.EXE PCFWIN EXE 469.504 19.03.98 21:47 PCFWIN.EXE PCFWIN HLP 38.367 19.03.98 21:19 PCFWIN.HLP PCFMIN EXE 38.384 19.03.98 21:00 PCFMIN.EXE README WRI 20.224 17.03.98 21:57 README.WRI PCF SCR 71.680 29.11.97 21:42 PCF.SCR GSREMOVE EXE 59.392 27.11.97 23:19 GSREMOVE.EXE BATTERIE WAV 53.804 30.11.96 15:47 BATTERIE.WAV UNIN0407 EXE 302.592 06.11.96 12:05 unin0407.exe 247 Datei(en) 118.827.037 Bytes 0 Verzeichnis(se) 2.630.948.864 Bytes frei Datentr„ger in Laufwerk C: WIN98 Seriennummer des Datentr„gers: 3F9A-A11D Verzeichnis von C:\ SYS TXT 0 17.08.06 22:37 sys.txt SYSTEM TXT 14.342 17.08.06 22:36 system.txt SYSTEM~1 TXT 285 17.08.06 22:36 systemtemp.txt SYSTEM32 TXT 456 17.08.06 22:34 system32.txt AUTOEXEC BAT 377 17.08.06 21:57 AUTOEXEC.BAT SCANDISK LOG 108.853 17.08.06 21:54 SCANDISK.LOG PCF INI 386 23.02.06 22:33 PCF.INI SETUP LOG 257 23.02.06 22:16 SETUP.LOG ADBERD~1 EXE 18.676.216 10.03.05 22:57 AdbeRdr60_deu_full.exe AUTOEXEC NAV 377 15.02.05 7:41 autoexec.nav TMPATCH DLL 176.128 03.12.04 8:11 tmPatch.dll SAFERS~1 EXE 563.690 02.12.04 15:17 SaferSurf-Install.exe UPDATE~1 EXE 422.912 01.12.04 11:52 Update5.2.0-2003.exe DCOM98 EXE 1.229.056 12.11.04 9:26 DCOM98.EXE WINDOW~1 BMK 63 27.04.04 20:58 WINDOWSWinHlp32.BMK BOOTLOG TXT 29.176 01.04.04 23:08 BOOTLOG.TXT BOOTLOG PRV 29.176 01.04.04 0:27 BOOTLOG.PRV CONFIG SYS 130 25.10.03 20:22 CONFIG.SYS MSDOS SYS 1.687 25.10.03 20:21 MSDOS.SYS SETUPXLG TXT 637 25.10.03 20:01 SETUPXLG.TXT AUTOEXEC BAR 134 25.10.03 16:39 AUTOEXEC.BAR SETUPLOG TXT 89.474 25.10.03 16:38 SETUPLOG.TXT NETLOG TXT 3.166 25.10.03 16:38 NETLOG.TXT DETLOG TXT 71.415 25.10.03 16:34 DETLOG.TXT FRUNLOG TXT 1.088 25.10.03 16:32 FRUNLOG.TXT SUHDLOG DAT 5.166 25.10.03 16:24 SUHDLOG.DAT SYSTEM 1ST 380.960 25.10.03 16:24 SYSTEM.1ST MSDOS --- 22 25.10.03 16:17 MSDOS.--- COMMAND COM 96.360 15.05.98 20:01 COMMAND.COM IO SYS 222.390 15.05.98 20:01 IO.SYS PCFWIN EXE 469.504 19.03.98 21:47 PCFWIN.EXE PCFWIN HLP 38.367 19.03.98 21:19 PCFWIN.HLP PCFMIN EXE 38.384 19.03.98 21:00 PCFMIN.EXE README WRI 20.224 17.03.98 21:57 README.WRI PCF SCR 71.680 29.11.97 21:42 PCF.SCR BATTERIE WAV 53.804 30.11.96 15:47 BATTERIE.WAV 36 Datei(en) 22.816.342 Bytes 0 Verzeichnis(se) 2.630.942.720 Bytes frei Dieser Beitrag wurde am 17.08.2006 um 23:03 Uhr von aqua57 editiert.
|
|
|
||
17.08.2006, 22:32
Ehrenmitglied
Beiträge: 29434 |
#6
o.k. ich warte auf die anderen LOGS, dann beginnt die Reinigung
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.08.2006, 23:05
...neu hier
Themenstarter Beiträge: 9 |
#7
Zitat Sabina posteteHi, also ich war remote auf seinem Rechner und habe die Programme durchlaufen lassen und die Logs hier reinkopiert. Blacklight ging nicht weil eine Datei fehlte. Er hat Windows 98, ich weiß daher nicht, ob alle Tools richtig funktioniert haben, wie sie sollten. An Logs war das alles jetzt. Sehe gerade, dass es nicht nur die letzten 3 Monate sind, aber ist ja trotzdem nicht zu viel gewesen. PS: NortonAntivirus habe ich deinstalliert, nach der Erstellung des Hijackthis-Logs, da es Fixwareout dazwischengefunkt hat. Es war parallel zu Antivir installiert. Die Norton Lizenz war abgelaufen. Dieser Beitrag wurde am 18.08.2006 um 00:00 Uhr von aqua57 editiert.
|
|
|
||
18.08.2006, 00:01
Ehrenmitglied
Beiträge: 29434 |
#8
aqua57
es ist sehr schwer, das zu sauebern, weil die meisten meiner Proggies nicht auf Win98 laufen, die versteckten Dateien kann ich so nicht sichtbar machen.... 1. loesche den kompletten Ordner von C:\Programme\KillAndClean ich weiss nicht, ob es das auf Win98 gibt: suche und loesche: C:\Dokumente und Einstellungen\deinUsername\Anwendungsdaten\kc.tmp C:\Dokumente und Einstellungen\deinUsername\Anwendungsdaten\wo.tmp 2. keine Ahnung, ob der Avenger auf win98 funktioniert Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ---------------------------------------------------------------------------------------------- öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten beachte, dass auch deine Internetverbindung, die zur Zeit auf einen Server in die Ukraine umgeleitet wird - geloescht wird. Du musst also nach neustart eine neue Internetverbindung mit den Daten von deinem Provider erstellen Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn IP und DNS automatisch beziehen. -> anhaken Zitat R3 - URLSearchHook: (no name) - {D802B30E-4835-8123-4BFC-443F5E4390AC} - ERTYDF.dll (file missing)PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** spybot http://www.safer-networking.org/en/download/index.html ** ich weiss nicht, ob das auf Win98 geht, versuche es mal und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html ** poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2006, 20:13
...neu hier
Themenstarter Beiträge: 9 |
#9
Hallo Sabina,
vielen Dank schon mal für deine schnelle Antwort und deine Hilfe. Ich melde mich die Tage wieder, wenn ich die Logs habe. Wir müssen erst noch einen Termin abstimmen, an dem ich die ganzen Anweisungen auf seinem PC durchführen kann. Dass die Behandlung unter Windows 98 zusätzliche Probleme macht, habe ich schon befürchtet. Mittelfristig soll auch ein neuer PC bei ihm zum Einsatz kommen, auf dem dann Windows XP installiert ist. Problem dabei ist, dass ein liebgewonnenes Schreibprogramm nicht unter Windows 2000/XP läuft und der Druckerhersteller keinen Treibersupport für Windows XP bietet und dieser daher ebenfalls nur unter Win 98 läuft. Also wie gesagt, ich melde mich dann wieder, wenn ich die Logs habe |
|
|
||
18.08.2006, 22:25
Ehrenmitglied
Beiträge: 29434 |
#10
versucht es, und berichtet immer per logs, damit ich weiss, wie der Stand der Dinge ist.
Zur Not gibt es dann noch Onlinescanner, die auch mit Win98 funktionieren http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2006, 15:18
...neu hier
Themenstarter Beiträge: 9 |
#11
1. C:\programme\killandclean existierte nicht (mehr).
2. kc.tmp habe ich gelöscht (war in anderem Verzeichnis). wo.tmp hat er nicht gefunden. 3. Avenger funktionierte unter Windows 98 nicht. Sollen die Dateien manuell gelöscht werden? 4. HijackThis Scan durchgeführt und Eintragungen gefixt (Killandclean tauchte dort allerdings nicht auf). 5. Host-Datei wiederhergestellt. 6. Spybot hat 64 Probleme behoben. Dort tauchte auch Killandclean wieder auf. 7. Mit SuperAntispyware gescannt. 5 Probleme behoben. Scanreport: SUPERAntiSpyware Scan Log Generated 08/20/2006 at 04:22 PM Core Rules Database Version : 3056 Trace Rules Database Version: 1103 Memory threats detected : 0 Registry threats detected : 3 File threats detected : 19 Parasite.WareOut HKLM\Software\Classes\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC} HKCR\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC} HKCR\CLSID\{D802B30E-4835-8123-4BFC-443F5E4390AC}\InprocServer32 ERTYDF.dll Adware.Tracking Cookie C:\WINDOWS\Cookies\hans@as1.falkag[1].txt C:\WINDOWS\Cookies\hans@komtrack[2].txt C:\WINDOWS\Cookies\hans@e-2dj6wflosnajwcp.stats.esomniture[2].txt C:\WINDOWS\Cookies\hans@partners.webmasterplan[1].txt C:\WINDOWS\Cookies\hans@msnportal.112.2o7[1].txt C:\WINDOWS\Cookies\hans@apmebf[1].txt C:\WINDOWS\Cookies\hans@2o7[2].txt C:\WINDOWS\Cookies\hans@e-2dj6wjkywjazefo.stats.esomniture[2].txt C:\WINDOWS\Cookies\hans@serving-sys[1].txt C:\WINDOWS\Cookies\hans@e-2dj6wgkyqjd5map.stats.esomniture[1].txt C:\WINDOWS\Cookies\hans@e-2dj6wjkywlczkfp.stats.esomniture[2].txt C:\WINDOWS\Cookies\hans@e-2dj6wjkospdpeaq.stats.esomniture[1].txt C:\WINDOWS\Cookies\hans@euros4click[1].txt Browser Hijacker.Favorites C:\WINDOWS\Favoriten\Sex and Dating C:\WINDOWS\Favoriten\Spyware Uninstall Trojan.DOmen c:\WINDOWS\SYSTEM\csolh.exe c:\WINDOWS\SYSTEM\csarv.exe Trojan.Unknown Origin c:\WINDOWS\SYSTEM\{3CABD005-088F-11DB-822B-00E04CEB6DEB}.exe 8. Neues Hijackthis Log: Logfile of HijackThis v1.99.1 Scan saved at 16:39:03, on 20.08.06 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\PCFWIN.EXE C:\MLT1100L\wswpd.exe C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\MULTIMEDIA CARD READER\SHWICON98.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\COREL\OFFICE7\SHARED\PFIT7\PFPPOP70.EXE C:\PROGRAMME\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE F1 - win.ini: load=C:\PCFMIN.EXE C:\WINDOWS\PCFMIN.EXE F1 - win.ini: run=C:\MLT1100L\WSWPD.EXE O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickFinder Scheduler] C:\COREL\OFFICE7\SHARED\QFINDER7\QFSCHED.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Minolta PageWorks/Pro 1100L] C:\MLT1100L\WSWPD.EXE O4 - HKLM\..\Run: [Sunkist] C:\Programme\Multimedia Card Reader\shwicon98.exe O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKLM\..\RunServices: [WinVNC4] "C:\PROGRAMME\REALVNC\VNC4\WINVNC4.EXE" -noconsole -service O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\PROGRAMME\SUPERANTISPYWARE\SUPERANTISPYWARE.EXE O4 - Startup: PerfectPrint.LNK = C:\Corel\Office7\Shared\PFit7\PFPPOP70.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1 O20 - Winlogon Notify: SASWinLogon - C:\PROGRAMME\SUPERANTISPYWARE\SASWINLO.DLL Fertig Dieser Beitrag wurde am 20.08.2006 um 16:59 Uhr von aqua57 editiert.
|
|
|
||
20.08.2006, 17:45
Ehrenmitglied
Beiträge: 29434 |
#12
aqua57
öffne das HijackThis -- Button "scan" -- Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) PC neustarten ** wenn du es findest - loeschen C:\WINDOWS\SYSTEM\DMPDQ.EXE C:\WINDOWS\rdt.ini C:\WINDOWS\balloon.wav ------------------------------------- ** scanne mit Bitdefender und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2006, 20:24
...neu hier
Themenstarter Beiträge: 9 |
#13
1. HijackThis-Fix durchgeführt.
2. Die 3 angegebenen Dateien gab es nicht (mehr). 3. Bitdefender hat gemeldet: Keine Viren gefunden Sind wir fertig? Das wäre schön. Falls es das gewesen sein sollte, vielen Dank für deine schnelle Hilfe. Ich überweise dann im Auftrag meines Bekannten eine kleine Spende Kannst du mir noch sagen, welche Antispywareprogramme man denn dauerhaft installiert haben sollte? Ich habe auf meinem Rechner jetzt vor lauter Testen folgende installiert: • SpywareGuard • SpywareBlaster • SUPERAntiSpyware • Spybot Search&Destroy + TeaTimer • Adaware • SpywareDoctor • Ewido Anti-Spyware Das kommt mir dann doch etwas viel vor, welches ist denn das beste, welche/wieviele sollte man parallel laufen lassen? Dieser Beitrag wurde am 20.08.2006 um 23:04 Uhr von aqua57 editiert.
|
|
|
||
20.08.2006, 23:03
Ehrenmitglied
Beiträge: 29434 |
#14
poste dann hier den report, aber ich denke, dass alles sauber ist...mal sehen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2006, 23:06
...neu hier
Themenstarter Beiträge: 9 |
#15
Zitat Sabina posteteHabe gerade oben den Beitrag aktualisiert. Da er nix gefunden hat, habe ich jetzt keinen Report da, bzw der liegt bei meinem Bekannten auf dem Rechner und der ist jetzt auf dem Weg in's Bett. Kannst du noch kurz sagen, welche Anti-Spyware-Programme man langfrisitig installiert haben sollte, viele sollen ja überwachen, dass sich sowas gar nicht erst einnistet. Windowsupdates wurden gemacht und den Firefox habe ich ihm jetzt installiert. Dieser Beitrag wurde am 20.08.2006 um 23:11 Uhr von aqua57 editiert.
|
|
|
||
vorgestern meldete sich ein Bekannter per Mail bei mir, der ein Problem mit seinem PC hat. Ohne sein Wissen hatte sich eine Toolbar (Yahoo) und ein angebliches Spyware-Erkennungsprogramm (killandclean) installiert.
Über das Killandclean habe ich mich soweit schlau gemacht. Es hat sich wahrscheinlich über ein Exploit (Windows nicht aktuell gepacht) installiert und läuft nun öfter ungefragt durch und meldet Spywarefunde, für dessen Entfernung man das Programm kaufen soll. Die gefundenen Registryeinträge hat es aber selbst vorher erstellt. Außerdem enthält es wohl als Zugabe noch einen Trojaner und ist selbst Spyware.
Da in vielen Threads, in denen von "killandclean" die Rede war, auch oft diese ominöse Toolbar auftauchte, gehe ich davon aus, dass die ebenfalls "bösartig" ist.
Nun wohne ich aber knapp 100 km weit weg, sonst würde ich ein Hijackthislog seines PCs hier einstellen und mich am besten hier beraten lassen, wie der PC wieder sauber zu bekommen ist. Wie kann ich ihm denn nun am besten helfen? Würden Programme wie Adaware oder Spybot Search&destroy die komplette Spyware vernichten oder sind da mehr Tools und Schritte notwendig oder kann man das so pauschal nicht sagen? Wenn ich nur einen Nachmittag bei ihm wäre, würde es wahrscheinlich nicht schnell genug gehen immer über das Forum die Schritte zur Bereinigung seines PCs abzusprechen.
Eine weitere sich anschließende Frage, die mich auch selbst interessiert ist, welche Vorkehrungen man treffen muß, um solche Infektionen möglichst zu verhindern. Sicherlich muß gerade Windows immer auf dem neuesten Stand sein (Sicherheitsupdates). Auch bei Java ist das wichtig. Außerdem sollte man möglichst nicht den Internet Explorer verwenden. Dann sollte natürlich ein aktueller Virenscanner (er verwendet Norton Antivirus) und eine Spywareerkennungssoftware installiert sein.
Aber welche und wieviele sind notwendig? Immer wieder genannt werden Spybot und Adaware. Zusätzlich habe ich heute folgende Empfehlungen gelesen:
- SpywareBlaster
- SpywareGuard
- Ewido Anti-Spyware
Dann noch andere Tools
- Cleanup!
- Killbox
- Winpatrol
Ich bin etwas verunsichert auf Grund der Fülle von den empfohlenen Tools. Welche habt ihr denn installiert und welche überschneiden sich so sehr in ihren Funktionen, dass Parallelinstallationen vermieden werden sollten?
Ich hoffe Ihr könnt mir helfen, danke
PS: Habe das schon im Trojanerboard gepostet, aber das scheint nicht sehr belebt zu sein?