spyware eingefangen - http://www.isecuritypage.com/Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.10.2006, 10:51
Member
Beiträge: 16 |
||
|
||
09.10.2006, 10:58
Ehrenmitglied
Beiträge: 29434 |
#2
1.
scanne mit option 1 und 2 - poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html 2. poste dieses log, bitte http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 12:37
Member
Themenstarter Beiträge: 16 |
#3
1.)
smithfraudfix - scan mit option 1 SmitFraudFix v2.106 Scan done at 12:00:44,15, 09.10.2006 Run from C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\smithfraudfix\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\ishost.exe FOUND ! C:\WINDOWS\system32\ismini.exe FOUND ! C:\WINDOWS\system32\issearch.exe FOUND ! C:\WINDOWS\system32\ixt?.dll FOUND ! C:\WINDOWS\system32\ixt??.dll FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! C:\WINDOWS\system32\components\flx?.dll FOUND ! C:\WINDOWS\system32\components\flx??.dll FOUND ! C:\WINDOWS\system32\components\flx???.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\conny »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\conny\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\conny\FAVORI~1 C:\DOKUME~1\conny\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\Safety Bar\ FOUND ! C:\Programme\Spy-Heal\ FOUND ! C:\Programme\VirusBurster\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium" [HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32] @="C:\WINDOWS\system32\httge.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32] @="C:\WINDOWS\system32\httge.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End %%%%%%%%%%%%%%%%%%% smithfraudfix - scan mit option 2 SmitFraudFix v2.106 Scan done at 12:08:09,25, 09.10.2006 Run from C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\smithfraudfix\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{7be183d2-a42d-4915-bf60-ec86fbf002cf}"="horologium" [HKEY_CLASSES_ROOT\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32] @="C:\WINDOWS\system32\httge.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7be183d2-a42d-4915-bf60-ec86fbf002cf}\InProcServer32] @="C:\WINDOWS\system32\httge.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ishost.exe Deleted C:\WINDOWS\system32\ismini.exe Deleted C:\WINDOWS\system32\issearch.exe Deleted C:\WINDOWS\system32\ixt?.dll Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\ts.ico Deleted C:\WINDOWS\system32\components\flx?.dll Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted C:\DOKUME~1\conny\FAVORI~1\Antivirus Test Online.url Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted C:\Programme\Safety Bar\ Deleted C:\Programme\Spy-Heal\ Deleted C:\Programme\VirusBurster\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End %%%%%%%%%%%%%%%%%%%%% 2.) combofix conny - 06-10-09 12:15:42,65 Service Pack 2 ComboFix 06.09.28 - Running from: "C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\combofix" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\components ((((((((((((((((((((((((((((((( Files Created from 2006-09-09 to 2006-10-09 )))))))))))))))))))))))))))))))))) 2006-10-08 10:59 2,816 --a------ C:\WINDOWS\system32\msdirect.sys 2006-09-23 11:31 6,144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys 2006-09-23 11:31 5,744 --a------ C:\WINDOWS\system32\drivers\k750wh.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-10-08 11:40 -------- d-------- C:\Programme\Lavasoft 2006-10-08 11:40 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Lavasoft 2006-10-04 14:26 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\AdobeUM 2006-09-24 11:23 -------- d-------- C:\Programme\Google 2006-09-23 11:35 -------- d-------- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Teleca 2006-09-23 11:34 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared 2006-09-23 11:33 -------- d-------- C:\Programme\Sony Ericsson 2006-09-23 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-23 11:10 -------- d---s---- C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Microsoft 2006-09-23 11:09 -------- d-------- C:\Programme\Mobile Action 2006-09-23 10:30 38527 --a------ C:\Dokumente und Einstellungen\conny\Anwendungsdaten\Microsoft Excel.ADR 2006-08-21 14:43 -------- d-------- C:\Programme\Adobe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" "DriverLoad"="" "DriverCheck"="" "SystemDriverLoad"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_05\\bin\\jusched.exe" "RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "SoundMan"="SOUNDMAN.EXE" "AlcWzrd"="ALCWZRD.EXE" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "NWTRAY"="NWTRAY.EXE" "Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s" "iPrint Tray"="C:\\WINDOWS\\system32\\iprntctl.exe TRAY_ICON" "iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "ScheduleSync.Siemens.SmartSync.5.2.exe"="C:\\Programme\\Mobile Phone Manager\\SmartSync\\ScheduleSync.exe" @="" "Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt Cannot create file aa.txt HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll Completion time: 09.10.2006 12:22:58.62 ComboFix.txt %%%%%%%%%%%%%5 seit den scans mit smithfraudfix kann ich den explorer übrigens wieder mit der von mir gewünschten homepage starten :-) danke & lg conny |
|
|
||
09.10.2006, 12:43
Ehrenmitglied
Beiträge: 29434 |
#4
1.
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\msdirect.sys ist ein Rootkit, poste den report 2. ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 13:06
Member
Themenstarter Beiträge: 16 |
#5
1.) virustotal
STATUS: FINISHEDComplete scanning result of "msdirect.sys", received in VirusTotal at 10.09.2006, 12:51:21 (CET). Antivirus Version Update Result AntiVir 7.2.0.25 10.09.2006 BDS/ForBot.AF.1 Authentium 4.93.8 10.06.2006 W32/Backdoor.KYJ Avast 4.7.892.0 10.08.2006 Win32:Trojan-gen. {Other} AVG 386 10.07.2006 BackDoor.Generic2.MJC BitDefender 7.2 10.09.2006 Backdoor.ForBot.M CAT-QuickHeal 8.00 10.07.2006 no virus found ClamAV devel-20060426 10.09.2006 Trojan.Forbot DrWeb 4.33 10.09.2006 Trojan.DownLoader.7332 eTrust-InoculateIT 23.73.16 10.07.2006 Win32/Shadown!Trojan eTrust-Vet 30.3.3123 10.09.2006 Win32/Shadown Ewido 4.0 10.09.2006 Backdoor.ForBot.af Fortinet 2.82.0.0 10.09.2006 W32/RKFu.C!tr.bdr F-Prot 3.16f 10.06.2006 security risk named W32/Backdoor.KYJ F-Prot4 4.2.1.29 10.06.2006 W32/Backdoor.KYJ Ikarus 0.2.65.0 10.09.2006 Backdoor.Win32.ForBot.af Kaspersky 4.0.2.24 10.09.2006 Backdoor.Win32.ForBot.af McAfee 4868 10.06.2006 NTRootKit-R Microsoft 1.1603 10.09.2006 VirTool:WinNT/FURootkit.V NOD32v2 1.1795 10.09.2006 Win32/Rootkit.Agent.NAD Norman 5.80.02 10.06.2006 W32/SDBot.ZKR Panda 9.0.0.4 10.08.2006 Dialer.GRN Sophos 4.10.0 10.05.2006 Troj/RKFu-C TheHacker 6.0.1.094 10.08.2006 Backdoor/ForBot.af UNA 1.83 10.06.2006 Backdoor.ForBot.F76A VBA32 3.11.1 10.08.2006 Backdoor.Win32.ForBot.af VirusBuster 4.3.7:9 10.08.2006 Worm.ForBot.CV Aditional Information File size: 2816 bytes MD5: b8329f32492cb2330260b7cf1d853e51 SHA1: b3fa4b03298913dcf94b26d44a55a39e93653518 VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. > Go to: Home Contactar En Español -------------------------------------------------------------------------------- www.virustotal.com :: ©Hispasec Sistemas 2004-06:: e-mail info@virustotal.com 2.) ServiceFilter The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Home Edition Version: 5.1.2600 Service Pack 2 Okt 9, 2006 13:05:41 ===> Begin Service Listing <=== Unknown Service #1 Service Name: cusrvc Display Name: Client Update Service for Novell Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\windows\system32\cusrvc.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #2 Service Name: CVPND Display Name: Cisco Systems, Inc. VPN Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\cisco systems\vpn client\cvpnd.exe" State: Running Process ID: 792 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 3 Service Name: dnlsvc Display Name: MS Software Shadow Download Provider Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\dokume~1\conny\lokale~1\temp\dnlsvc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: InoRPC Display Name: eTrust Antivirus RPC Server Start Mode: Auto Start Name: LocalSystem Description: Listens for Admin Server discovery and policy ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inorpc.exe" State: Running Process ID: 824 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 6 Service Name: InoRT Display Name: eTrust Antivirus Realtime Server Start Mode: Auto Start Name: LocalSystem Description: Provides real-time on-access virus ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inort.exe" State: Running Process ID: 920 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 7 Service Name: InoTask Display Name: eTrust Antivirus Job Server Start Mode: Auto Start Name: LocalSystem Description: Schedules background task such as scan jobs and signature ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inotask.exe" State: Running Process ID: 944 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #8 Service Name: iPodService Display Name: iPodService Start Mode: Manual Start Name: LocalSystem Description: iPod hardware management ... Service Type: Own Process Path: c:\programme\ipod\bin\ipodservice.exe State: Running Process ID: 3048 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #9 Service Name: matlabserver Display Name: MATLAB Server Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\matlab6p1\webserver\bin\win32\matlabserver.exe State: Running Process ID: 1376 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #10 Service Name: MDM Display Name: Machine Debug Manager Start Mode: Auto Start Name: LocalSystem Description: Supports local and remote debugging for Visual Studio and script debuggers. If this service is ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe" State: Running Process ID: 1724 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #11 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #12 Service Name: SLService Display Name: SmartLinkService Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: slserv.exe State: Running Process ID: 1864 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #13 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{f505244a-dcbd-4c1f-a020-3ca056c01cdd} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 91 Win32 services on this machine. 13 were unrecognized. Script Execution Time: 0,890625 seconds. |
|
|
||
09.10.2006, 13:53
Ehrenmitglied
Beiträge: 29434 |
#6
««
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html « http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei poste das log _____________________________________________________ «« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 14:08
Member
Themenstarter Beiträge: 16 |
#7
10/09/06 13:59:18 [Info]: BlackLight Engine 1.0.47 initialized
10/09/06 13:59:18 [Info]: OS: 5.1 build 2600 (Service Pack 2) 10/09/06 13:59:19 [Note]: 7019 4 10/09/06 13:59:19 [Note]: 7005 0 10/09/06 14:00:04 [Note]: 7006 0 10/09/06 14:00:04 [Note]: 7011 1036 10/09/06 14:00:04 [Note]: 7026 0 10/09/06 14:00:04 [Note]: 7026 0 10/09/06 14:00:14 [Note]: FSRAW library version 1.7.1020 10/09/06 14:03:19 [Note]: 2000 1012 10/09/06 14:03:19 [Note]: 2000 1012 10/09/06 14:04:29 [Note]: 7007 0 nach dem scanvorgang schreibt er übrigens "scan complete. no hidden items found" |
|
|
||
09.10.2006, 14:56
Ehrenmitglied
Beiträge: 29434 |
||
|
||
09.10.2006, 15:36
Member
Themenstarter Beiträge: 16 |
#9
1.) datfindbat
1.1 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\WINDOWS\system32 09.10.2006 12:15 54.562 perfc009.dat 09.10.2006 12:15 384.208 perfh009.dat 09.10.2006 12:15 65.620 perfc007.dat 09.10.2006 12:15 395.688 perfh007.dat 09.10.2006 12:15 909.320 PerfStringBackup.INI 08.10.2006 11:05 2.816 msdirect.sys 26.09.2006 22:42 2.206 wpa.dbl 23.06.2006 16:23 1.413 mapisvc.inf 11.04.2006 21:52 565.170 large.bnk 11.04.2006 21:52 278.528 livesnth.dll 11.04.2006 21:52 11.333 cf_lic.txt 03.03.2006 20:43 263.024 FNTCACHE.DAT 10.02.2006 21:46 176.167 rmoc3260.dll 10.02.2006 21:46 5.632 pndx5032.dll 10.02.2006 21:46 6.656 pndx5016.dll 10.02.2006 21:46 278.528 pncrt.dll 06.01.2006 12:39 5.618 jupdate-1.5.0_05-b05.log 1.2 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\DOKUME~1\conny\LOKALE~1\Temp 1.3 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\WINDOWS 09.10.2006 15:27 1.308.351 WindowsUpdate.log 09.10.2006 12:11 0 0.log 09.10.2006 12:11 159 wiadebug.log 09.10.2006 12:11 50 wiaservc.log 09.10.2006 12:11 2.048 bootstat.dat 09.10.2006 12:08 182.852 setupact.log 09.10.2006 12:03 373.518 ntbtlog.txt 09.10.2006 12:02 32.536 SchedLgU.Txt 07.10.2006 22:31 116 NeroDigital.ini 07.10.2006 13:19 27.326 wmsetup.log 04.10.2006 15:29 157 matlab.ini 25.09.2006 21:00 0 mngui.INI 23.09.2006 11:36 1.208.294 setupapi.log 23.09.2006 11:33 355.642 DPINST.LOG 23.09.2006 11:23 0 PanelExe.INI 23.09.2006 11:17 19 SoundConverter.INI 23.09.2006 10:30 400 ODBC.INI 04.09.2006 12:22 291 cdplayer.ini 11.07.2006 12:59 0 CPC10Q.INI 29.06.2006 17:49 28 MotionDVSTUDIO.INI 22.02.2006 12:24 0 nokiacontentcopier.INI 19.01.2006 21:58 334 GEARInstall.log 09.01.2006 11:32 28 Hmplayer.INI 06.01.2006 19:04 316.640 WMSysPr9.prx 03.01.2006 19:48 9.438 system.ini 03.01.2006 14:15 35.918 FontData.fdb 1.4 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\WINDOWS\Temp 1.5 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\WINDOWS\Downloaded Program Files 23.12.2005 12:19 65 desktop.ini 27.08.2005 14:30 5.065 swflash.inf 29.06.2005 18:17 227 opuc.inf 26.05.2005 05:19 293 muweb.inf 26.05.2005 05:19 291 wuweb.inf 19.09.2003 15:22 299.008 isusweb.dll 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 8 Datei(en) 526.133 Bytes 0 Verzeichnis(se), 6.652.731.392 Bytes frei 1.6 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: D041-A4D7 Verzeichnis von C:\ 09.10.2006 15:31 0 sys.txt 09.10.2006 15:31 634 down.txt 09.10.2006 15:31 117 tmp.txt 09.10.2006 15:31 6.099 system.txt 09.10.2006 15:30 133 systemtemp.txt 09.10.2006 15:29 100.726 system32.txt 09.10.2006 12:22 5.235 ComboFix.txt 09.10.2006 12:11 1.073.139.712 hiberfil.sys 09.10.2006 12:11 1.610.612.736 pagefile.sys 09.10.2006 12:08 2.035 rapport.txt 23.09.2006 11:26 1.207 Install.log 23.09.2006 11:25 2.554 DrvInst.log 23.09.2006 11:25 284 DrvInst (1).log 23.09.2006 11:25 231 DrvInst (2).log 23.09.2006 11:20 1.207 Install (1).log 23.09.2006 11:20 339 Install (2).log 23.06.2006 16:25 27.336 SDSSetup.log 2.) blacklight 10/09/06 15:31:55 [Info]: BlackLight Engine 1.0.47 initialized 10/09/06 15:31:55 [Info]: OS: 5.1 build 2600 (Service Pack 2) 10/09/06 15:31:55 [Note]: 7019 4 10/09/06 15:31:55 [Note]: 7005 0 10/09/06 15:31:57 [Note]: 7006 0 10/09/06 15:31:57 [Note]: 7011 2840 10/09/06 15:31:57 [Note]: 7026 0 10/09/06 15:31:57 [Note]: 7026 0 10/09/06 15:32:03 [Note]: FSRAW library version 1.7.1020 10/09/06 15:35:13 [Note]: 2000 1012 10/09/06 15:35:13 [Note]: 2000 1012 10/09/06 15:35:45 [Note]: 7007 0 3.) DrWeb "abschlossen - keine viren gefunden" Dieser Beitrag wurde am 09.10.2006 um 15:48 Uhr von coppelia editiert.
|
|
|
||
09.10.2006, 16:05
Ehrenmitglied
Beiträge: 29434 |
#10
das hast du vor dem scan rausgeloescht ?
C:\WINDOWS\system32\ 08.10.2006 11:05 2.816 msdirect.sys dann muesste wieder alles in Ordnung sein..... ** poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.10.2006, 16:11
Member
Themenstarter Beiträge: 16 |
#11
1.) ja, wie oben beschrieben mit dem avenger
2.) Logfile of HijackThis v1.99.1 Scan saved at 16:08:53, on 09.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\NWTRAY.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\system32\iprntctl.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\drweb-cureit\drweb-cureit.exe C:\DOKUME~1\conny\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOKUME~1\conny\LOKALE~1\Temp\RarSFX0\cureit.exe C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\hijackthis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135335984000 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135335965343 O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16 O17 - HKLM\System\CCS\Services\Tcpip\..\{9405883E-A46F-452A-A5BD-A5C18FD754E7}: NameServer = 129.27.2.3,129.27.3.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16 O17 - HKLM\System\CS2\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\conny\LOKALE~1\Temp\dnlsvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
|
|
||
09.10.2006, 16:27
Ehrenmitglied
Beiträge: 29434 |
#12
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Zitat O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll (file missing)PC neustarten ** scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2006, 08:54
Member
Themenstarter Beiträge: 16 |
#13
scanreport von panda:
da ich gestern - montag weg musste, musste ich auch den pc abdrehen und den scan abbrechen. report bis zum abbrechen von montag: Incident Status Location Adware:adware/picsplace Not disinfected Windows Registry Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@advertising[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@atdmt[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@doubleclick[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@ehg-idg.hitbox[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@hitbox[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix.zip[SmitfraudFix/Process.exe] Virus:W32/Netsky.Q.worm Disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\sort\siko\thunderbird\Mail\Local Folders\Outlook Mail.sbd\mail2004.sbd\div[~0000059.~][mail18566.zip] vollständiger scan von heute - dienstag früh: Incident Status Location Adware:adware/picsplace Not disinfected Windows Registry Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@advertising[1].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@atdmt[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@doubleclick[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@ehg-idg.hitbox[1].txt Spyware:Cookie/Hitbox Not disinfected C:\Dokumente und Einstellungen\conny\Cookies\conny@hitbox[2].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hilfe_befall_08_10_2006\smithfraudfix\SmitfraudFix.zip[SmitfraudFix/Process.exe] Adware:Adware/PicsPlace Not disinfected C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WH2R8T2F\go[1].exe |
|
|
||
10.10.2006, 09:48
Ehrenmitglied
Beiträge: 29434 |
#14
avenger
Zitat Folders to delete:«« Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k «« scanne mit McAfee FreeScan (Online) http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.10.2006, 09:59
Member
Themenstarter Beiträge: 16 |
#15
1.)
avenger: error - could not create zipfile press OK to log error and continue or Cancel to abort Error Code: 0 -> neustart pc (keine ahnung was der anvenger dann noch gemacht hat, das editor fenster mit avenger.txt war leer) 2.) datenträgerbereinigung gemacht 3.) mcafee will unbedingt eine wlan verbindung.... kann ich im augenblick nicht bieten. das ungesichtere wlan netzwerk funzt nicht richtig, der rest ist sicherheitsaktiviert.... Dieser Beitrag wurde am 10.10.2006 um 10:47 Uhr von coppelia editiert.
|
|
|
||
und wieder einer, der sich was eingefangen hat .....
als startseite kriege ich im IE explorer immer folgende page: http://www.isecuritypage.com/
lästig! zudem lässt er mich zb nur nach lust und laune auf goggel zugreifen ....
ad-aware hab ich schon drüberlaufen lassen, hat zwar dieses und jenes erkannt, mein problem bleibt aber.
hier mein logfile von HijackThis:
Danke f Hilfe!
Logfile of HijackThis v1.99.1
Scan saved at 10:39:05, on 09.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\conny\Eigene Dateien\setups\hijackthis\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt1.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135335984000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135335965343
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{9405883E-A46F-452A-A5BD-A5C18FD754E7}: NameServer = 129.27.2.3,129.27.3.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CB5CED0-B891-4318-92AA-887346A7C5B8}: NameServer = 195.34.133.15,195.34.133.16
O21 - SSODL: horologium - {7be183d2-a42d-4915-bf60-ec86fbf002cf} - C:\WINDOWS\system32\httge.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOKUME~1\conny\LOKALE~1\Temp\dnlsvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe