Trojaner Downloader.Agent.hj und Trojan.Small.fb

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.10.2006, 21:48
...neu hier

Beiträge: 4
#1 hallo,

ich habe den trojaner "Downloader.Agent.uj" und "Trojan.Small.fb" bei mir drauf...hab da zwar gelesen, dass ich hier meine logfiles einstellen soll, aber weiter weiss ich nicht... :-) ich stelle sie hier mal ein, wäre nett, wenn mir jemand weiterhelfen könnte!!!!!! :-)))

danke!
michi

Logfile of HijackThis v1.99.1
Scan saved at 21:40:46, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\AntiVir Workstation\avgnt.exe
C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\UltimateZip\uzqkst.exe
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\PurgeIE\PurgeIE_Service.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\NclBTHandler.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\MICHAEL\LOKALE~1\TEMP\HIJACKTHIS.EXE
C:\Dokumente und Einstellungen\michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4TQ3CH2N\HijackThis[1].exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir Workstation\avgnt.exe" /min
O4 - HKLM\..\Run: [YeppStudioAgent] C:\Programme\Samsung\Samsung Media Studio\SamsungMediaStudioAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146256969437
O17 - HKLM\System\CCS\Services\Tcpip\..\{083DA5C9-53AF-4C84-9AA8-565C7C50C9E6}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{09EA09D4-BDF4-4871-99BB-E51F625116BA}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{C932926F-3576-4F42-AF38-22579BEB6A59}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.74 85.255.112.61
O17 - HKLM\System\CS1\Services\Tcpip\..\{083DA5C9-53AF-4C84-9AA8-565C7C50C9E6}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.74 85.255.112.61
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: PurgeIE XP Service (PurgeIEservice) - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
Seitenanfang Seitenende
16.10.2006, 10:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 die internetverbindung wird auf einen Server in die Ukraine umgeleitet...

««
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.10.2006, 14:28
...neu hier

Themenstarter

Beiträge: 4
#3 hallo sabina,
danke für deine antwort!!! :-)
hier der report:
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}812F61DA4432-0C5B-EA44-434B-0B382A00{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}17667E39F4A2-9E7B-F144-D14E-6973A765{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}ED9563864A27-DCD8-97E4-6FC3-8CAEA3A5{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5F309EAED94A-210A-E194-D4FB-762E9258{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EF799B8CA90D-6FD8-7CD4-5E08-6DE40A44{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}575CF994B0C0-1FCA-C6C4-B1C0-9A0CCEFE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}522CED6BB451-5299-60D4-7067-AAFEB3CA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9775A921915E-B4DA-E254-9C0B-7F13C941{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E02788FA914F-EBE9-D704-BCC4-35521C15{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\kysmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
"dmsyk.exe"=-
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSXCB.EXE 51.803 2006-09-21
C:\WINDOWS\SYSTEM32\DMSYK.EXE 61.958 2004-08-04

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


____________________________________________________

hier die textdateien der letzten 3 monate:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CDE-69A7

Verzeichnis von C:\WINDOWS\system32

08.04.2100 11:45 69.632 Lxasmdm.dll
16.10.2006 14:19 15.798 FFASTLOG.TXT
03.10.2006 14:13 2.206 wpa.dbl
21.09.2006 23:14 51.803 csxcb.exe
20.08.2006 22:42 1.919 AUTOEXEC.NT
29.07.2006 19:32 48.936 sirenacm.dll
16.07.2006 23:22 2.339 SpoonUninstall-dBpowerAMP Mp4 Codec.dat
16.07.2006 23:22 131.072 SpoonUninstall.exe
16.07.2006 23:22 33.846 SpoonUninstall-dBpowerAMP Mp4 Codec.bmp
16.07.2006 23:19 36.100 SpoonUninstall-dBpowerAMP Music Converter.dat
16.07.2006 23:18 33.846 SpoonUninstall-dBpowerAMP Music Converter.bmp
09.07.2006 15:28 16.832 amcompat.tlb
09.07.2006 15:28 23.392 nscompat.tlb
07.07.2006 17:50 2.634 INSTALL.LOG
04.07.2006 14:26 704.000 DAAPI.dll
04.07.2006 14:25 131.072 NclAPI.dll
04.07.2006 14:25 245.760 VersitConverter.dll
12.06.2006 13:55 61.440 NclTools.dll
08.06.2006 22:21 57.384 avsda.dll
05.06.2006 14:04 242.688 ConnAPI.dll


ich hoffe, ich hab alles richtig gemacht!!!
grüße
michi
Seitenanfang Seitenende
17.10.2006, 01:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 michilein

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Files to delete:

Zitat

C:\WINDOWS\system32\dmsyk.exe
C:\WINDOWS\system32\csxcb.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{083DA5C9-53AF-4C84-9AA8-565C7C50C9E6}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{09EA09D4-BDF4-4871-99BB-E51F625116BA}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{C932926F-3576-4F42-AF38-22579BEB6A59}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.74 85.255.112.61
O17 - HKLM\System\CS1\Services\Tcpip\..\{083DA5C9-53AF-4C84-9AA8-565C7C50C9E6}: NameServer = 85.255.114.74,85.255.112.61
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.74 85.255.112.61
PC neustarten

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

85.255.114.74 85.255.112.61 - muss raus !!!!!!!!

1. Click Start > Control Panel
2. Double-click Network Connections.

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

««
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.10.2006, 23:54
...neu hier

Themenstarter

Beiträge: 4
#5 hi,
bei netzwerkverbindungen/lan-verbindung/eigenschaften/internetprotokoll
war schon die auswahl ip-adresse automat. beziehen angeklickt....???

beim letzten mal hochfahren vom pc ist der antvir nicht mehr angesprungen, ist das ok???
hier der scanreport:

Scanning Report
Tuesday, October 17, 2006 23:23:17 - 23:46:59
Computer name: PC
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\


--------------------------------------------------------------------------------

Result: 5 malware found
Tracking Cookie (spyware)
System (Disinfected)
System
System
System
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 19213
System: 4071
Not scanned: 3
Actions:
Disinfected: 1
Renamed: 0
Deleted: 0
None: 4
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\DOKUMENTE UND EINSTELLUNGEN\MICHAEL\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\OUTLOOK\OUTLOOK.PST

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure AVP: 6.0.171, 2006-10-17
F-Secure Libra: 2.4.1, 2006-10-17
F-Secure Orion: 1.2.37, 2006-10-16
F-Secure Blacklight: 1.0.31, 0000-00-00
F-Secure Pegasus: 1.19.0, 2006-08-29
F-Secure Draco: 1.0.35, 2006-10-06
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
Use Advanced heuristics

und hier der logfile von hijack this...danke!

Logfile of HijackThis v1.99.1
Scan saved at 23:53:40, on 17.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir Workstation\sched.exe
C:\Programme\AntiVir Workstation\avguard.exe
C:\Programme\AntiVir Workstation\avesvc.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\PurgeIE\PurgeIE_Service.exe
C:\Programme\AntiVir Workstation\avmailc.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\michael\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\michael\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\MICHAEL\LOKALE~1\TEMP\HIJACKTHIS.EXE

O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir Workstation\avmailc.exe
O23 - Service: AntiVir Windows Workstation Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir Workstation\sched.exe
O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir Workstation\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Windows Workstation MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir Workstation\avesvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: PurgeIE XP Service (PurgeIEservice) - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe
Seitenanfang Seitenende
18.10.2006, 01:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ja nun...hatte ich nicht genau angegeben, welche Eintraege mit HijackThis zu fixen sind ?
du hast nun alles gefixt....
wie geht es dem Rechner ;)
bringe den Antivirus - den Guard wieder in den Systemstart, man kann das im Antivirus einstellen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.10.2006, 23:18
...neu hier

Themenstarter

Beiträge: 4
#7 ups....dem rechner geht es aber ganz gut...
das antivier startet auch wieder automatisch
und nu??? ;-)
lg
michi
Seitenanfang Seitenende