ProRat V1.9???(Trojaner,AntiVirus) |
||
---|---|---|
#0
| ||
15.11.2006, 19:50
...neu hier
Beiträge: 4 |
||
|
||
15.11.2006, 20:15
Ehrenmitglied
Beiträge: 29434 |
#2
««
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html «« poste dieses log http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.11.2006, 20:40
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo,
nummer 3 geht nicht. Ich bin mit nummer 2 ein bisschen rum gekommen,kann sein das nicht alles in dem richtigen Namen ist. Bitte helfe mir jetzt weiter... MFG Hier die Daten: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\WINDOWS\system32 15.11.2006 20:25 80.386 nvapps.xml 15.11.2006 20:25 20.992 reginv.dll 15.11.2006 20:25 13.312 winkey.dll 15.11.2006 16:09 8.891 jupdate-1.5.0_09-b03.log 14.11.2006 19:09 315.948 fservice.exe 14.11.2006 14:35 2.206 wpa.dbl 12.11.2006 11:19 439.004 perfh009.dat 12.11.2006 11:19 451.826 perfh007.dat 12.11.2006 11:19 76.238 perfc009.dat 12.11.2006 11:19 88.222 perfc007.dat 12.11.2006 11:19 1.030.350 PerfStringBackup.INI 12.10.2006 03:10 127.078 javaws.exe 12.10.2006 03:10 49.265 jpicpl32.cpl 12.10.2006 01:35 53.346 javaw.exe 12.10.2006 01:35 49.248 java.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\WINDOWS 15.11.2006 20:29 29.163 ktd32.atm 15.11.2006 15:43 1.539.821 WindowsUpdate.log 15.11.2006 15:37 0 0.log 15.11.2006 15:37 2.048 bootstat.dat 15.11.2006 15:26 18.184 SchedLgU.Txt 15.11.2006 14:42 227 system.ini 15.11.2006 14:42 477 win.ini 15.11.2006 14:27 254.856 ntbtlog.txt 14.11.2006 19:51 312.556 setupapi.log 14.11.2006 19:21 216 wiadebug.log 14.11.2006 19:09 315.948 services.exe 14.11.2006 16:22 50 wiaservc.log 13.11.2006 17:54 39.301 DirectX.log 13.11.2006 16:55 47.791 wmsetup.log 11.11.2006 10:58 551 Qiii.INI 14.10.2006 13:28 2.041 WGA.log 13.10.2006 16:09 1.393 imsins.log 13.10.2006 16:09 504.840 iis6.log 13.10.2006 16:09 202.015 tsoc.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\DOKUME~1\Maurice\LOKALE~1\Temp 15.11.2006 20:30 173 jusched.log 15.11.2006 20:25 512 ~DF1769.tmp 15.11.2006 20:25 81.920 ~DF1176.tmp 15.11.2006 20:25 512 ~DFD641.tmp 15.11.2006 20:25 81.920 ~DFD639.tmp 15.11.2006 20:25 20.859 Turkish.bin 15.11.2006 20:25 20.608 Norwegian.bin 15.11.2006 20:25 21.562 Finnish.bin 15.11.2006 20:25 22.862 Czech.bin 15.11.2006 20:25 18.436 Hebrew.bin 15.11.2006 20:25 24.446 Hungarian.bin 15.11.2006 20:25 22.606 Polish.bin 15.11.2006 20:25 23.522 Portuguese(Brazil).bin 15.11.2006 20:25 15.534 SimChin.bin 15.11.2006 20:25 19.506 Arabic.bin 15.11.2006 20:25 23.467 Greek.bin 15.11.2006 20:25 20.733 Thai.bin 15.11.2006 20:25 21.773 English.bin 15.11.2006 20:25 24.654 Portuguese.bin 15.11.2006 20:25 26.062 Spanish.bin 15.11.2006 20:25 22.684 SWEDISH.bin 15.11.2006 20:25 24.638 Russian.bin 15.11.2006 20:25 25.824 Italian.bin 15.11.2006 20:25 24.274 German.bin 15.11.2006 20:25 25.665 French.bin 15.11.2006 20:25 16.913 TradChin.bin 15.11.2006 20:25 21.343 Danish.bin 15.11.2006 20:25 18.978 Korean.bin 15.11.2006 20:25 24.173 Dutch.bin 15.11.2006 20:25 22.809 Japanese.bin 11.11.2006 03:05 247 1F1205F7.TMP 31 Datei(en) 719.215 Bytes 0 Verzeichnis(se), 12.898.672.640 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\WINDOWS\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\WINDOWS\Downloaded Program Files 08.11.2006 14:09 1.230.960 ClientAX.dll 06.10.2006 17:08 65 desktop.ini 25.06.2006 11:50 1.793 erma.inf 22.06.2006 10:41 5.032 swflash.inf 10.11.2005 13:05 876 jinstall-1_5_0_06.inf 15.10.2004 07:53 110.592 PURde-xx.dll 08.10.2004 16:13 587 MSNPupld.inf 08.10.2004 16:01 372.736 MsnPUpld.dll 22.09.2004 15:59 110.592 PURen-us.dll 03.06.2002 17:53 144 QTPlugin.inf 10 Datei(en) 1.833.377 Bytes 0 Verzeichnis(se), 12.898.668.544 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F045-2F6E Verzeichnis von C:\ 15.11.2006 20:33 0 sys.txt 15.11.2006 20:33 750 down.txt 15.11.2006 20:32 117 tmp.txt 15.11.2006 20:32 8.375 system.txt 15.11.2006 20:31 1.769 systemtemp.txt 15.11.2006 20:31 98.845 system32.txt 15.11.2006 15:37 704.643.072 pagefile.sys 15.11.2006 14:42 211 boot.ini 15.11.2006 14:16 232 sqmdata18.sqm 15.11.2006 14:16 244 sqmnoopt18.sqm 15.11.2006 14:16 232 sqmdata17.sqm 15.11.2006 14:16 244 sqmnoopt17.sqm 14.11.2006 19:46 268 sqmdata16.sqm 14.11.2006 19:46 244 sqmnoopt16.sqm 13.11.2006 16:20 244 sqmnoopt15.sqm 13.11.2006 16:20 232 sqmdata15.sqm 13.11.2006 16:20 232 sqmdata14.sqm 13.11.2006 16:20 244 sqmnoopt14.sqm 11.11.2006 16:48 244 sqmnoopt13.sqm 11.11.2006 16:48 232 sqmdata13.sqm 11.11.2006 16:41 232 sqmdata12.sqm 11.11.2006 16:41 244 sqmnoopt12.sqm 11.11.2006 16:34 244 sqmnoopt11.sqm 11.11.2006 16:34 232 sqmdata11.sqm 11.11.2006 16:34 244 sqmnoopt10.sqm 11.11.2006 16:34 232 sqmdata10.sqm 11.11.2006 16:33 232 sqmdata09.sqm 11.11.2006 16:33 244 sqmnoopt09.sqm 11.11.2006 16:33 232 sqmdata08.sqm 11.11.2006 16:33 244 sqmnoopt08.sqm 06.11.2006 13:45 232 sqmdata07.sqm 06.11.2006 13:45 244 sqmnoopt07.sqm 06.11.2006 13:45 232 sqmdata06.sqm 06.11.2006 13:45 244 sqmnoopt06.sqm 06.11.2006 13:44 244 sqmnoopt05.sqm 06.11.2006 13:44 232 sqmdata05.sqm 06.11.2006 13:44 244 sqmnoopt04.sqm 06.11.2006 13:44 232 sqmdata04.sqm 06.11.2006 13:43 232 sqmdata03.sqm 06.11.2006 13:43 244 sqmnoopt03.sqm 06.11.2006 13:43 232 sqmdata02.sqm 06.11.2006 13:43 244 sqmnoopt02.sqm 06.11.2006 13:43 244 sqmnoopt01.sqm 06.11.2006 13:43 232 sqmdata01.sqm 06.11.2006 13:43 232 sqmdata00.sqm 06.11.2006 13:43 244 sqmnoopt00.sqm 06.11.2006 13:43 232 sqmdata19.sqm 06.11.2006 13:43 244 sqmnoopt19.sqm 06.10.2006 17:10 0 CONFIG.SYS 06.10.2006 17:10 0 MSDOS.SYS 06.10.2006 17:10 0 IO.SYS 06.10.2006 17:10 0 AUTOEXEC.BAT 03.08.2004 21:59 251.184 ntldr 03.08.2004 21:38 47.564 NTDETECT.COM 18.08.2001 13:00 4.952 bootfont.bin 55 Datei(en) 705.066.395 Bytes 0 Verzeichnis(se), 12.898.648.064 Bytes frei Danke. |
|
|
||
15.11.2006, 21:00
Ehrenmitglied
Beiträge: 29434 |
#4
muris007
geht nicht - warum ??? - Fehlermeldung ??? http://virus-protect.org/winpfind.html versuche es mit silentrunner http://virus-protect.org/silentrunner.html -------------------------------------------------------------- Registry Search Tool http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: fservice.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) --------------------------------------------------------- ist fuer mich Zitat Files to delete: Zitat F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 16:25
...neu hier
Themenstarter Beiträge: 4 |
#5
Hallo,
man konnte nichts einfügen,es kam aber ne .txt Datei. Die hier: "Silent Runners.vbs", revision 49, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} "DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."] "Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "zango" = ""c:\programme\zango\zango.exe"" ["Zango, Inc."] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Active Setup\Installed Components\ {5Y99AE78-58TT-11dW-BE53-Y67078979Y}\(Default) = (no title provided) \StubPath = "C:\WINDOWS\system\sservice.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {56F1D444-11BF-4879-A12B-79CF0177F038}\(Default) = "Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B432C3ACF" -> {HKLM...CLSID} = "Zango Search Assistant Helper" \InProcServer32\(Default) = "c:\programme\zango\zangohook.dll" ["Zango, Inc."] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0812.00.dll" [MS] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ <<!>> "Shell" = "Explorer.exe C:\WINDOWS\system32\fservice.exe" [MS], [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Maurice\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.5.0_09" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_09" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ <<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Messenger Sharing USN Journal Reader-Service, usnsvc, "C:\WINDOWS\system32\svchost.exe -k usnsvc" {"C:\Programme\MSN Messenger\usnsvc.dll" [MS]} Was soll ich jetzt machen? Welche Dateien soll ich löschen? Sicher das man die service.exe löschen darf? winkey.dll,reginv.dll lassen sich nicht löschen,und wenn doch kommen die wieder. MfG Bitte um hilfe!!! |
|
|
||
16.11.2006, 17:11
Ehrenmitglied
Beiträge: 29434 |
#6
ich muss jetzt leider weg, und bin erst heute abend wieder online, dann gibt es neue Anweisungen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2006, 17:13
...neu hier
Themenstarter Beiträge: 4 |
#7
Danke!
Gucke um 20 Uhr wieder rein. |
|
|
||
17.11.2006, 01:24
Ehrenmitglied
Beiträge: 29434 |
#8
1-
Gehe in die Registry Start - Ausfuehren - regedit bearbeiten - suchen - fservice.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ "DirectX For Microsoft® Windows" = "C:\WINDOWS\system32\fservice.exe -> loeschen bearbeiten - suchen - sservice.exe HKLM\Software\Microsoft\Active Setup\Installed Components\ {5Y99AE78-58TT-11dW-BE53-Y67078979Y}\ -> loeschen \StubPath = "C:\WINDOWS\system\sservice.exe" und alles andere, was du noch findest. aufpassen: wenn du zum Schluessel kommst: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe darfst du nur C:\WINDOWS\system32\fservice.exe ausloeschen aber nicht mehr !!! wenn du es dir nicht zutraust, lasse es und fixe es dann mit hijackThis - siehe unten ________________________________________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ---------------------------------- öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe--------------------------------------------------------------------------- «« klicke dich durch zum Schlüssel: HKEY_CURRENT_USER\software\microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings oben links auf "exportieren" klicken und die Datei als update.txt abspeichern - auf dem Desktop, dann klicke dit txt-Datei doppelt und poste den Text hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
nach dem googlen,habe ich festgestellt,das der Trojaner ProRat auf meinem Rechner ist(kann auch ein anders Programm sein):
ich bin sehr verzweifelt,ich habe mir mal vor 2 Wochen eine Anleitung zu C++ runtergeladen,doch erst heute geöffnet....es war schon komisch,da es eine .exe wahr,aber mein AntiVirus hatte nichts gemeldet,bis ich die Datei geöffnet habe...,da konnte ich noch eine Datei löschen die ProRat auf meine Festplatte schreiben wollte,durch AntiVirus.Aber dann war mein AntiVirus schon platt...meine Windows Firewall auch.
Die Firewall kann ich garnicht mehr starten sowie das ganze Sicherheitcenter,mit AntiVirus kann ich nur noch die Festplatten scannen,(laufende Prozesse,usw. kann ich nicht mehr scannen),da durch habe ich auch schon viele Dateien löschen können,die AntiVirus mir gemeldet hatte.
Doch 2 dateien lassen sich nicht löschen: winkey.dll und reginv.dll,auch beim Neustart oder mit dem Unlocker,Killbox,bleiben die Dateien im Windows Ordner.
Ich kann Sie umbennen,doch beim nächsten Start sind die Dateien wieder da.
Ich habe durch google.de erfahren,das ich das System neuaufsetzen soll,doch das kann ich nicht,da soviele Programme installiert sind,die ich unbedingt brauche,auch für die Arbeit,und manche kriege ich nicht wieder,es würde auch viel zu lange dauern.Deswegen helft mir bitte,so das ich das System nicht wieder neu machen muss.
Achja,habe im Internet gefunden,das ich eintragungen in der Regestry löschen muss,aber wie mache ich das?
Habe hier in anderen Foren ein bisschen rum gesucht und habe gefunden das ihr immer so ein Hijackthis wollt,habe es installiert,hier das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 17:15:57, on 15.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\services.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Googl eToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\services.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Maurice\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E2DF7A557B43 2C3ACF - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [zango] "c:\programme\zango\zango.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\Googl eToolbarNotifier.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113fd.bay113.hotmail.msn.co...s/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Danke schonmal für alle Antworten!
Mit freundlichen Grüßen
PS:Ich weiss das ich zur Zeit unsicher bin,deswegen helft mir bitte!