trojaner und würmer entdeckt, nervige popups |
||
---|---|---|
#0
| ||
01.09.2006, 01:08
...neu hier
Beiträge: 8 |
||
|
||
01.09.2006, 02:20
Ehrenmitglied
Beiträge: 29434 |
#2
1.
poste das log http://virus-protect.org/artikel/tools/combofix.html 2. poste den scanreport http://virus-protect.org/artikel/tools/vundofixx.html 3. option 1 und 2 http://virus-protect.org/artikel/tools/smitfrautfix.html poste die reporte -------------------------- 4. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.09.2006, 02:31
...neu hier
Themenstarter Beiträge: 8 |
#3
Jens - 06-09-01 2:29:34,18
ComboFix 06.08.30BT - Running from: C:\Dokumente und Einstellungen\Jens\Eigene Dateien\downloads\sicherheit (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\outlook C:\Programme\winupdates ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\Dokumente und Einstellungen\Jens\Eigene Dateien\MBOLS~1 C:\QooBox\Purity\Programme\MCROSO~1.NET C:\QooBox\Purity\WINDOWS\system32\PPPATC~1 C:\QooBox\Purity\WINDOWS\system32\TSKS~1 C:\QooBox\Purity\WINDOWS\system32\YSTEM~1 C:\QooBox\Purity\WINDOWS\system32\YSTEM~1\arpa.exe ((((((((((((((((((((((((((((((( Files Created from 2006-08-01 to 2006-09-01 )))))))))))))))))))))))))))))))))) 2006-09-01 00:19 126,976 --------- C:\WINDOWS\system32\vvsqxd.dll 2006-08-31 20:11 57,384 --a------ C:\WINDOWS\system32\avsda.dll 2006-08-28 02:45 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2006-08-28 02:45 249,856 --------- C:\WINDOWS\Setup1.exe 2006-08-15 22:55 139,264 --------- C:\WINDOWS\system32\prb.dll 2006-08-14 12:25 2 --a------ C:\WINDOWS\system32\wnsapitr.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-01 01:49 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-01 01:41 -------- d-------- C:\Programme\Morpheus 2006-09-01 01:32 -------- d-------- C:\Programme\Morpheus Toolbar 2006-09-01 01:31 -------- d-------- C:\Programme\CleanUp! 2006-09-01 01:22 -------- d-------- C:\Programme\SendFile 2006-09-01 00:17 -------- d-------- C:\Programme\Lavasoft 2006-09-01 00:17 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Lavasoft 2006-08-31 20:11 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-08-28 20:08 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\LimeWire 2006-08-28 14:03 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\MyPhoneExplorer 2006-08-28 02:32 -------- d-------- C:\Programme\MyPhoneExplorer 2006-08-28 02:23 -------- d-------- C:\Programme\Sony Ericsson 2006-08-17 01:01 -------- d---s---- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Microsoft 2006-08-17 01:01 -------- d-------- C:\Programme\Shellscape 2006-08-17 01:01 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Kapsules 2006-08-17 00:46 -------- d-------- C:\Programme\Internet Explorer 2006-08-14 12:33 -------- d-------- C:\Programme\Save 2006-08-14 12:10 131072 --a------ C:\WINDOWS\system32\SpoonUninstall.exe 2006-08-14 12:02 -------- d-------- C:\Programme\EasyLAME 2006-08-12 22:05 -------- d-------- C:\Programme\Google 2006-08-11 21:10 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\vlc 2006-08-11 19:57 -------- d-------- C:\Programme\VideoLAN 2006-07-28 13:55 -------- d-------- C:\Programme\HDX4 2006-07-28 13:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-07-27 16:53 -------- d-------- C:\Programme\Microsoft Office 2006-07-27 16:53 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared 2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-07-24 18:32 -------- d-------- C:\Programme\Volkschat 2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll 2006-07-17 02:06 -------- d-------- C:\Programme\Opera 2006-07-13 22:31 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Opera 2006-07-07 20:33 -------- d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\OpenOffice.org2 2006-07-07 20:19 -------- d-------- C:\Programme\OpenOffice.org 2.0 2006-07-06 19:20 -------- d-------- C:\Programme\ICQLite 2006-06-25 12:56 155990 --a------ C:\WINDOWS\BeepFighter Uninstaller.exe 2006-06-22 13:42 319488 --a------ C:\WINDOWS\system32\lame_enc.dll 2006-06-16 14:34 48936 --a------ C:\WINDOWS\system32\sirenacm.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVMixerTray"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\"" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "HostManager"="C:\\Programme\\Gemeinsame Dateien\\AOL\\1151440062\\ee\\AOLHostManager.exe" "ViewMgr"="C:\\Programme\\Viewpoint\\Viewpoint Manager\\ViewMgr.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background" "WhenUSave"="\"C:\\Programme\\Save\\Save.exe\"" "Arcor Online"="C:\\PROGRA~1\\ARCORO~1\\Arcor.exe /inst_typ:2 /kunden_typ:bestand" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e7,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,58,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,58,02,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-] "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "nwiz"="nwiz.exe /install" "RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job Completion time: 01.09.2006 2:30:16.96 ComboFix.txt rest kommt heut mittag Dieser Beitrag wurde am 01.09.2006 um 02:37 Uhr von qwertzui editiert.
|
|
|
||
01.09.2006, 11:49
Ehrenmitglied
Beiträge: 29434 |
#4
qwertzui
der Purityscan ist schon mal raus, nun arbeite alles weitere ab und poste alle logs __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.09.2006, 12:44
...neu hier
Themenstarter Beiträge: 8 |
#5
vundofix findet nichts, es gibt also auch keinen scanreport. was soll ich jetzt machen?
|
|
|
||
01.09.2006, 12:46
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat option 1 und 2 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.09.2006, 13:25
...neu hier
Themenstarter Beiträge: 8 |
#7
sorry, dass ich mich grad etwas blöd anstell, aber ich krieg das mit dem abgesicherten modus ned hin. wenn ich F8 drück tut sich nix.
wenn ich Entf drück komm ich ins setup, dort steht dann folgendes: Soft Menu III Setup Standard CMOS Features Advanced BIOS Features Advanced Chipset Features Integrated Peripherals Power Managment Setup PnP/PCI Configurations Pc Health Status Load Fail-Safe defaults Load Optimized Defaults Set Password Save&Exit Setup Exit Without Saving was soll ich da jetzt machen? |
|
|
||
01.09.2006, 17:14
Ehrenmitglied
Beiträge: 29434 |
#8
dann scanne im normalmodus und poste die zwei scanreporte
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.09.2006, 21:05
...neu hier
Themenstarter Beiträge: 8 |
#9
Zitat Logfile of HijackThis v1.99.1 Zitat Jens - 06-09-01 20:32:36.67 Zitat SmitFraudFix v2.83 Zitat SmitFraudFix v2.83 Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. |
|
|
||
02.09.2006, 01:52
Ehrenmitglied
Beiträge: 29434 |
#10
qwertzui
1. loesche: C:\WINDOWS\system32\wnsapitr.exe 2. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O2 - BHO: (no name) - {E238EE2A-46DD-772C-CBBF-537ED4C116F5} - C:\WINDOWS\system32\prb.dll (file missing)PC neustarten 3. scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 14:14
...neu hier
Themenstarter Beiträge: 8 |
#11
die gefunde adware und der trojaner sind jetzt in quarantäne
das is der scanreport SUPERAntiSpyware Scan Log Generated 09/02/2006 at 01:51 PM Core Rules Database Version : 3072 Trace Rules Database Version: 1111 Memory Thread detected : 0 Registry Thread detected : 66 File Thread detected : 17 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Jens\Cookies\jens@adtech[2].txt C:\Dokumente und Einstellungen\Jens\Cookies\jens@atwola[1].txt C:\Dokumente und Einstellungen\Jens\Cookies\jens@rambler[2].txt C:\Dokumente und Einstellungen\Jens\Cookies\jens@2o7[1].txt Adware.WhenU HKCR\WUSN.1 HKCR\WUSN.1#WUSN_Id HKCR\ACM.ACMFactory HKCR\ACM.ACMFactory\CLSID HKCR\ACM.ACMFactory\CurVer HKCR\ACM.ACMFactory.1 HKCR\ACM.ACMFactory.1\CLSID HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0} HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\ProxyStubClsid32 HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\TypeLib HKCR\Interface\{572FB162-C0BA-4EDF-8CFF-E3846153B9B0}\TypeLib#Version HKCR\AppId\{127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB} HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}#AppID HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32 HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32#ThreadingModel HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\ProgID HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\Programmable HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\TypeLib HKCR\CLSID\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\VersionIndependentProgID HKCR\AppId\ACM.DLL HKCR\AppId\ACM.DLL#AppID HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095} HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0 HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\0 HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\0\win32 HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\FLAGS HKCR\TypeLib\{DF901432-1B9F-4F5B-9E56-301C553F9095}\1.0\HELPDIR HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842} HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\ProxyStubClsid32 HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\TypeLib HKCR\Interface\{72A836D1-BC00-43C0-A941-17960E4FB842}\TypeLib#Version HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086} HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\ProxyStubClsid32 HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\TypeLib HKCR\Interface\{43382522-A846-46F4-AC57-1F71AE6E1086}\TypeLib#Version HKLM\Software\WhenUSave HKLM\Software\WhenUSave#db_script_update HKLM\Software\WhenUSave#InstallDir HKLM\Software\WhenUSave#pats_url HKLM\Software\WhenUSave#pat_chunks_url HKLM\Software\WhenUSave#script_url HKLM\Software\WhenUSave#update_url HKLM\Software\WhenUSave#ver_url HKLM\Software\WhenUSave#Version HKLM\Software\WhenUSave#uninst_rs HKLM\Software\WhenUSave#timedDBUpdate_rs HKLM\Software\WhenUSave#SystemParam_rs HKLM\Software\WhenUSave#extra_url HKLM\Software\WhenUSave#extraver_url HKLM\Software\WhenUSave#ziptomsa_url HKLM\Software\WhenUSave#InstallTime HKLM\Software\WhenUSave#LastPartner HKLM\Software\WhenUSave#SetupCmdLine HKLM\Software\WhenUSave#zip HKLM\Software\WhenUSave#acm_rs HKLM\Software\WhenUSave#TotalPartner HKLM\Software\WhenUSave\Partners HKLM\Software\WhenUSave\Partners\EDON HKLM\Software\WhenUSave\Partners\EDON#Partner HKLM\Software\WhenUSave\Partners\EDON#InstallTime HKLM\Software\WhenUSave\Partners\EDON#PartnerDesc HKLM\Software\WhenUSave\Partners\EDON#PartnerFile C:\Programme\Save\Save.exe.acm.dll.mdmp C:\Programme\Save C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP17\A0005384.exe Adware.ClickSpring C:\QooBox\Purity\WINDOWS\system32\YSTEM~1\arpa.exe C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP18\A0006455.dll C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP30\A0007196.dll C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP30\A0007209.dll C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP30\A0007211.dll Trojan.Unknown Origin C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP18\A0006438.exe C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP29\A0007090.exe C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP36\A0008689.exe Adware.UCmore Toolbar C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP29\A0007097.dll C:\System Volume Information\_restore{8DD55928-7F35-4E5E-A85E-3BD20A4FD6D5}\RP29\A0007100.dll |
|
|
||
02.09.2006, 15:20
Ehrenmitglied
Beiträge: 29434 |
#12
qwertzui
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 16:11
...neu hier
Themenstarter Beiträge: 8 |
#13
Incident Status Location
Adware:adware/ucmore Not disinfected Windows Registry Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@2o7[2].txt Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@adtech[2].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@as1.falkag[2].txt Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@atwola[1].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@doubleclick[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@ehg-idg.hitbox[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@hitbox[2].txt Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Jens\Cookies\jens@tradedoubler[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Jens\Eigene Dateien\downloads\sicherheit\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Jens\Eigene Dateien\downloads\sicherheit\zip\SmitfraudFix.zip[SmitfraudFix/Process.exe] |
|
|
||
02.09.2006, 17:37
Ehrenmitglied
Beiträge: 29434 |
#14
qwertzui
es ist alles wieder in Ordnung, an den Registryeintrag komme ich nicht ran, aber es ist auch nicht so schlimm. wenn es noch Probleme geben sollte - melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2006, 17:56
...neu hier
Themenstarter Beiträge: 8 |
#15
super, vielen dank. eine frage hab ich aber noch. soll ich das was bei superantispyware in quarantäne ist jetzt löschen?
|
|
|
||
daraufhin hab ich dieses forum entdeckt und hoffe ihr könnt mir helfen.
bitte erklärt mir möglichst genau was ich zu tun habe, da ich mich so gut wie gar nicht auskenne. vielen dank im vorraus für euere hilfe.
hier ist mein hjt logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:02:04, on 01.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\YSTEM~1\arpa.exe
C:\Programme\Gemeinsame Dateien\AOL\1151440062\ee\AOLHostManager.exe
C:\PROGRA~1\ARCORO~1\Arcor.exe
C:\Programme\Gemeinsame Dateien\AOL\1151440062\ee\AOLServiceHost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Media Player Classic\mplayerc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jens\Eigene Dateien\??mbols\?poolsv.exe
C:\Dokumente und Einstellungen\Jens\Eigene Dateien\downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {BAA9B8A9-5C68-72C9-68ED-5580093F5291} - C:\WINDOWS\system32\vvsqxd.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BAA9B8A9-5C68-72C9-68ED-5580093F5291} - C:\WINDOWS\system32\vvsqxd.dll
O2 - BHO: (no name) - {E238EE2A-46DD-772C-CBBF-537ED4C116F5} - C:\WINDOWS\system32\prb.dll
O2 - BHO: XBTBPos00 - {E552EEFC-DE97-45D4-BA1A-F534A1B4A579} - C:\PROGRA~1\MORPHE~1\MORPHE~1.DLL
O2 - BHO: (no name) - {FE74E67C-1C8D-2374-9BF0-079B9AA456FB} - C:\WINDOWS\system32\tjw.dll (file missing)
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O3 - Toolbar: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1151440062\ee\AOLHostManager.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rnda] "C:\WINDOWS\system32\YSTEM~1\arpa.exe" -vt tzt
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\Run: [Qfm] C:\Dokumente und Einstellungen\Jens\Eigene Dateien\??mbols\?poolsv.exe
O4 - HKCU\..\Run: [Arcor Online] C:\PROGRA~1\ARCORO~1\Arcor.exe /inst_typ:2 /kunden_typ:bestand
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Kapsules.lnk = C:\Programme\Shellscape\Kapsules\Kapsules.exe
O4 - Global Startup: Control Center.lnk = C:\Programme\HDX4\hdx4tray.exe
O8 - Extra context menu item: &AOL Toolbar Search - c:\programme\aol\aol toolbar 2.0\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll
O9 - Extra 'Tools' menuitem: Morpheus Toolbar - {119DBEDA-9c41-4F97-94B4-B6BCD01133CF} - C:\Programme\Morpheus Toolbar\morpheustoolbar.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 2.0\aoltb.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147707897390
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC0A9D54-ABB8-407B-9E78-4610BADE303C}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
*edit: die ursache für die pop ups hab ich mittlerweile gefunden. das programm heist "yazzle by oin" und wird sogar in der systemsteuerung unter software angezeigt.
und wenn ich mich richtig informiert habe, hängt das auch mit dem trojaner zusammen der entdeckt wurde. TR/Dldr.PurityScan.AR