PC erstellt immer wieder idd***.tmp.exe dateien |
||
---|---|---|
#0
| ||
20.08.2006, 04:21
...neu hier
Beiträge: 10 |
||
|
||
20.08.2006, 19:55
Ehrenmitglied
Beiträge: 29434 |
#2
phipser
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2006, 06:14
...neu hier
Themenstarter Beiträge: 10 |
#3
So hab ich gemacht...
Ergebnis: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 30C8-25A6 Verzeichnis von C:\WINDOWS\Temp 27.06.2006 13:26 <DIR> . 27.06.2006 13:26 <DIR> .. 11.05.2006 20:07 <DIR> bactera 27.06.2006 12:52 0 JET9366.tmp 26.06.2006 12:34 135.168 JETA0B4.tmp 25.06.2006 17:26 327.680 JETF194.tmp 27.06.2006 12:50 16.384 Perflib_Perfdata_500.dat 20.06.2006 11:30 0 win1.tmp 20.06.2006 11:44 0 win10.tmp 21.06.2006 01:07 0 win100.tmp 27.06.2006 03:34 0 win1000.tmp 27.06.2006 03:36 0 win1001.tmp edit |
|
|
||
21.08.2006, 12:10
Ehrenmitglied
Beiträge: 29434 |
#4
phipser
loesche erst mal manuell: C:\WINDOWS\Temp\win2E.tmp.exe und alle anderen win..... tmp dann poste : Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\wenn der platz nicht reicht: siehe unten "Anhang" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2006, 16:18
...neu hier
Themenstarter Beiträge: 10 |
#5
Habe Dateien gelöscht, es haben sich aber nach Ausführung der Batch Datei sofort 2 neue win.....tmp dateien gebildet.
Ergebnisse der Batch: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 30C8-25A6 Verzeichnis von C:\WINDOWS\Temp 27.06.2006 13:26 <DIR> . 27.06.2006 13:26 <DIR> .. 11.05.2006 20:07 <DIR> bactera 27.06.2006 12:52 0 JET9366.tmp 26.06.2006 12:34 135.168 JETA0B4.tmp 25.06.2006 17:26 327.680 JETF194.tmp 27.06.2006 12:50 16.384 Perflib_Perfdata_500.dat 20.06.2006 11:30 0 win1.tmp 20.06.2006 11:44 0 win10.tmp 21.06.2006 01:07 0 win100.tmp 27.06.2006 03:34 0 win1000.tmp 27.06.2006 03:36 0 win1001.tmp edit |
|
|
||
21.08.2006, 21:28
Ehrenmitglied
Beiträge: 29434 |
#6
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html wenn der platz nicht reicht, bitte als Anhang posten (siehe unten) Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2006, 17:44
...neu hier
Themenstarter Beiträge: 10 |
#7
Alles erledigt....
Ergebnisse in Anhang Datei: result_datfind.txt Gruß, Phipser Anhang: result_datfind.txt
|
|
|
||
22.08.2006, 21:11
Ehrenmitglied
Beiträge: 29434 |
#8
phipser
1. Vundofix abarbeiten http://virus-protect.org/artikel/tools/vundofixx.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log von vundofix und vom avenger ** poste per anhang: Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2006, 21:57
...neu hier
Beiträge: 1 |
#9
Guten Tag,
ich habe seit ein paar Tagen das selbe Problem wie Phipser, wahrscheinlich weil ich ein paar unerfahrene Freunde unbeaufsichtigt an meinen Rechner gelassen habe. Die haben mir wohl schöne Sachen eingefangen.... Ich hab über Google nach ähnlichen Fällen gesucht und bin auf dieses Forum gestossen : Das Problem ist, dass in meinem /Windows/Temp Ordner regelmässig Dateien mit dem Namen idd*.tmp.exe (anstatt * stehen Zahlen-/Buchstabenkombinationen, immer 4-stellig) erstellt werden, die versuchen sich mit dem Internet zu verbinden. Das wird glücklicherweise noch von meinem Norton Internet Security Program Control bemerkt und lässt sich durch mich blocken, aber nachdem ich das Blocken bestätige, wählt sich mein Online Butler neu ins Internet ein - und das nervt. Noch dazu ist mein Norton Anti Virus nicht mehr funktionstüchtig, ich vermute dass das zusammenhängt. Ich poste den HJT-Log, wäre super wenn mir jemand helfen kann! Ich kenne mich in der Richtung nicht sehr gut aus. Logfile of HijackThis v1.99.1 Scan saved at 21:30:49, on 25.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe E:\Programme\Norton Internet Security\ISSVC.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\system32\CTHELPER.EXE E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe E:\WINDOWS\system32\CTsvcCDA.exe E:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE E:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe E:\WINDOWS\explorer.exe E:\Programme\ArcorOnline\Arcor.exe E:\Programme\Mozilla Firefox\firefox.exe E:\WINDOWS\TEMP\idd24EF.tmp.exe E:\Programme\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - E:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Norton SystemWorks] "E:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D742F2F4-6A9D-44A1-880F-6E521B1013F1}: NameServer = 195.50.140.178 195.50.140.114 O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - E:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - E:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - E:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - E:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - E:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ServiceLayer - Nokia. - E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
||
25.08.2006, 22:55
Ehrenmitglied
Beiträge: 29434 |
#10
fox_aspect
poste ausser hijackThis die anderen Logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 15:47
...neu hier
Themenstarter Beiträge: 10 |
#11
Sorry hatte wegen Prüfungen keine Zeit weiterzumachen, aber jetzt bin ich durch....
Log vom avenger: ----------------- Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vqdmvwpj ******************* Script file located at: \??\C:\WINDOWS\ajpgheea.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\ehkmp.ini2 not found! Deletion of file C:\WINDOWS\system32\ehkmp.ini2 failed! Could not process line: C:\WINDOWS\system32\ehkmp.ini2 Status: 0xc0000034 File C:\WINDOWS\system32\mcrh.tmp not found! Deletion of file C:\WINDOWS\system32\mcrh.tmp failed! Could not process line: C:\WINDOWS\system32\mcrh.tmp Status: 0xc0000034 File C:\WINDOWS\system32\iqwenuvc.exe not found! Deletion of file C:\WINDOWS\system32\iqwenuvc.exe failed! Could not process line: C:\WINDOWS\system32\iqwenuvc.exe Status: 0xc0000034 File C:\WINDOWS\system32\ehkmp.bak2 not found! Deletion of file C:\WINDOWS\system32\ehkmp.bak2 failed! Could not process line: C:\WINDOWS\system32\ehkmp.bak2 Status: 0xc0000034 File C:\WINDOWS\system32\vtuvvut.dll not found! Deletion of file C:\WINDOWS\system32\vtuvvut.dll failed! Could not process line: C:\WINDOWS\system32\vtuvvut.dll Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuvvut deleted successfully. Completed script processing. ******************* Finished! Terminate. -> Log der listen.bat im Anhang... Verzeichnis von C:\WINDOWS\Temp 27.06.2006 13:26 <DIR> . 27.06.2006 13:26 <DIR> .. 11.05.2006 20:07 <DIR> bactera 27.06.2006 12:52 0 JET9366.tmp 26.06.2006 12:34 135.168 JETA0B4.tmp 25.06.2006 17:26 327.680 JETF194.tmp 27.06.2006 12:50 16.384 Perflib_Perfdata_500.dat 21.06.2006 11:32 1.031 win2C.tmp 21.06.2006 11:32 11.776 win2E.tmp.exe 21.06.2006 11:34 76.568 winA7.tmp.exe Anhang: listenbat3log.txt
|
|
|
||
02.09.2006, 16:41
Ehrenmitglied
Beiträge: 29434 |
#12
phipser
Versteckte- und Systemdateien sichtbar machen http://virus-protect.org/invisible.html 0. Combofix anwenden (poste das log) http://virus-protect.org/artikel/tools/combofix.html 1. deinstalliere: Anti-Leech NetPumper 2. boote in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 3. loesche im abgesicherten modus: C:\Dokumente und Einstellungen\Phips\Anwendungsdaten\NetPumper C:\Programme\Gemeinsame Dateien\{30C825A6-0817-1031-0421-040421200031} 4. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 5. Avenger Zitat registry keys to delete:boote wieder in den normalmodus und poste das log vom avenger, was erscheint ** CleanUp anwenden http://virus-protect.org/cleanup.html ** scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.10.2006, 00:50
...neu hier
Beiträge: 2 |
#13
Hi,
habe genau das selbe problem *grml* Also das is der log von Hijack Logfile of HijackThis v1.99.1 Scan saved at 00:44:54, on 13.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\issearch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\system32\oobe\csrss.exe C:\Programme\Softwin\BitDefender9\bdoesrv.exe C:\progra~1\softwin\bitdef~1\bdnagent.exe C:\progra~1\softwin\bitdef~1\bdswitch.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Gemeinsame Dateien\{EC25B976-096C-1031-0819-020208060031}\Update.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender9\vsserv.exe c:\progra~1\softwin\bitdef~1\bdmcon.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\TEMP\win51.tmp.exe C:\Programme\ArcorDSL\ArcorDSL.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.emsisoft.de/de/software/ax/?scan=1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing) O2 - BHO: Class - {CD413875-641C-F87D-CDDE-5E819E83C7EA} - C:\WINDOWS\emcjt1.dll (file missing) O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\VideosCodec\iesplugin.dll O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file) O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe" O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe" O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [dmlpw.exe] C:\WINDOWS\system32\dmlpw.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [smsckumi] C:\WINDOWS\system32\smsckumi.exe O4 - HKCU\..\Run: [Steam] "c:\michael\steam\steam.exe" -silent O4 - HKCU\..\Run: [ONLINE1] C:\DOKUME~1\ADMINI~1\ANWEND~1\README~1\Boneknobwait.exe O4 - HKCU\..\RunOnce: [CleanUp!] C:\Programme\CleanUp!\Cleanup.exe /WindowsRestart O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C30CCB3-D619-498B-9347-3B0C0C40E6EC}: NameServer = 85.255.113.124,85.255.112.15 O17 - HKLM\System\CCS\Services\Tcpip\..\{27A8E209-1B36-4A9D-84BC-AC0475FAE213}: NameServer = 85.255.113.124,85.255.112.15 O17 - HKLM\System\CCS\Services\Tcpip\..\{E83805CC-E773-4168-B96B-FA7500091732}: NameServer = 195.50.140.252 195.50.140.114 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C30CCB3-D619-498B-9347-3B0C0C40E6EC}: NameServer = 85.255.113.124,85.255.112.15 O17 - HKLM\System\CS2\Services\Tcpip\..\{0C30CCB3-D619-498B-9347-3B0C0C40E6EC}: NameServer = 85.255.113.124,85.255.112.15 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll O20 - Winlogon Notify: winrkq32 - C:\WINDOWS\SYSTEM32\winrkq32.dll O21 - SSODL: Windows Update - {459FA2B2-E4C2-13D4-CA84-03501F45B839} - C:\WINDOWS\system32\oobe\csrss.exe O21 - SSODL: Battery Monitor - {459352B2-D4CE-13D4-2D78-03501003EF20} - shlapiw32.dll (file missing) O21 - SSODL: IEFilter - {F42B0A3B-A0A2-48BF-8F4E-6AC69CB4AF07} - C:\WINDOWS\system32\IEFilter.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Ich hab keinen Peil wat ich jetzt weiter machen muss hoffe ihr könnt mir helfen Gruß |
|
|
||
13.10.2006, 00:59
Ehrenmitglied
Beiträge: 29434 |
#14
Babarisch
der rechner ist hoffnungslos verseucht, willst du dich auf eine aufwendige reinigung einlassen oder gleich formatieren ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.10.2006, 01:01
...neu hier
Beiträge: 2 |
#15
Dat klingt ja grandios^^
hab schon überlegt zu formatieren wollte aber schaun, ob da noch was zu machen is anscheinend ja net Naja wat solls trotzdem danke |
|
|
||
seit kurzem bin ich von dem Problem geplagt, das mein System bzw. ein ungebetener Gast immer wieder Dateien selbst erstellt, welche dann versuchen eine Internetverbindung herzustellen.
Die Datein haben immer dasselbe Schema idd***.tmp.exe (anstelle der Sterne stehen dann willkürliche Zahlen) und sind im c:\windows\temp ordner beheimatet.
Analyse der Dateien durch Jotti sagt, das es sich um "Dialer QY" handelt, leider steht nirgendswo, wie ich den bekämpfen kann. SpybotSD hilft auch nicht wirklich weiter.
Hat jemand schon Erfahrung mit diesem Problem??
PC:
AMD
WinXP SP2
Agnitum Outpost Firewall
HJT-Log:
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\Agnitum\Outpost Firewall\outpost.exe
d:\programme\asus\Promise FT376\MsgAgt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\FireFox\firefox.exe
D:\Programme\Notepad++\notepad++.exe
D:\Sicherheit\hijackthis0806\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = www.metager.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Probe] d:\Programme\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [razertra] d:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] "d:\Programme\Agnitum\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] d:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - d:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - D:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{561F6993-02D4-4E3D-8031-ECBFDA50941F}: NameServer = 10.2.27.11
O18 - Protocol hijack: mhtml -
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - d:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Promise RAID message agent (RAIDmAgt) - Promise Technology, Inc. - d:\programme\asus\Promise FT376\MsgAgt.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe