Home » Spyware & Browser Hijacker Support Forum » Win32Agnet.uj und 017TcPiP Probleme » Themenansicht
Win32Agnet.uj und 017TcPiP Probleme |
||
|---|---|---|
| #0
| ||
|
06.12.2006, 11:28
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
06.12.2006, 13:03
Ehrenmitglied
 Beiträge: 29434 |
#2
SchorschBB
Killbox http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\WINDOWS\SYSTEM32\DMTQB.EXE C:\WINDOWS\SYSTEM32\DMVTP.EXE C:\WINDOWS\system32\CSLCI.0XE PC neustarten _______________________________________________________________________________ «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{129A1A1E-734C-477F-B7B4-E6490FE6B115}: NameServer = 85.255.115.93,85.255.112.14Arbeitsplatz - Systemsteuerung - Netzwerk Eigenschaften von TCP/IP, Register Allgemein, Option IP-Adresse automatisch beziehen - anhaken ** poste das neue log vom Hijackthis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.12.2006, 13:43
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Sabina,
habe alles nach Vorschrift gemacht. Bin ich die Krätze los? Was mich noch interessieren würde: bei jedem hochfahren kriege ich die Meldung: Systemstartänderungen entdeckt und unter details: HKU ... PowerBar! Was ist das? Gut / Böse / brauch man das? wie wird mans los? Habe bei "Eigenschaften von Tcp/iP neben IP-Adresse automatisch beziehen auch DNS-Server-Adresse automatisch beziehen eingestellt. Gut so oder besser nicht? Vielen dank auf jeden Fall für deine Hilfe!! SchorschBB Logfile of HijackThis v1.99.1 Scan saved at 13:34:36, on 06.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\WINDOWS\system32\tcpsvcs.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe C:\Programme\F-Secure Internet Security\FSPC\fspc.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\Programme\WinFast\WFTVFM\WFWIZ.exe C:\Programme\Office Mouse\moffice.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\F-Secure Internet Security\Common\FSM32.EXE C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Office Mouse\MOUSE32A.DAT C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Tower\Eigene Dateien\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [News Service] "C:\Programme\F-Secure Internet Security\FSGUI\ispnews.exe" O4 - HKLM\..\Run: [MMTray] C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133200086796 O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
|
|
|
|
|
|
06.12.2006, 14:06
Ehrenmitglied
Beiträge: 29434 |
#4
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) PowerBar in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.12.2006, 14:38
...neu hier
Themenstarter Beiträge: 4 |
#5
Ist das ok so??
mfg schorschBB REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 06.12.2006 14:35:11 for strings: ; 'powerbar' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\CyberLink\PowerBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Data Fellows\F-Secure\Anti-Spyware\Registry Backup\4422dda8] "PowerBar"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PowerBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PowerBar] @="C:\\Programme\\CyberLink DVD Solution\\Multimedia Launcher\\PowerBar.exe" [HKEY_USERS\S-1-5-21-2000478354-682003330-725345543-1004\Software\CyberLink\PowerBar] [HKEY_USERS\S-1-5-21-2000478354-682003330-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "PowerBar"="" ; End Of The Log... |
|
|
|
|
|
|
06.12.2006, 14:51
Ehrenmitglied
Beiträge: 29434 |
#6
PowerBar
Part of CyberLink's PowerDVD software....................... ** poste dieses log http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.12.2006, 16:32
...neu hier
Themenstarter Beiträge: 4 |
#7
hallo sabina,
im anhang das winpfind log; zu meinem Graus hat mir mein F-Secure Viren-Scanner jetzt doch wieder / noch? win32.agent.uj gemeldet, und zwar als Datei A0679139.EXE; Pfad:C:\System Volume Information\Restore{d338ed4c-f8b4-45ff-b00a-dd2a38c74b6}. soll ich die Datei löschen? kommt sie wieder? leichter frust macht sich breit! zu Recht??? mfg schorschBB Anhang: WinPFind.Txt
|
|
|
|
|
|
|
06.12.2006, 17:16
Ehrenmitglied
Beiträge: 29434 |
#8
der rechner ist wieder sauber
 es reicht, dass du die systemwiederherstellung deaktivierst/ dann wieder aktivieren http://virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. --------------------------------- Gruss aus Lissabon  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich versuche meinen Rechner wieder clean zu kriegen, habe schon einiges aus dem Forum versucht, traue mich aber nicht so ganz ohne Support.
Vielleicht kann ja jemand über die logfiles und reports im anhang schauen und mir sagen oder auf link verweísen, ob und was ich ggf. noch machen muss.
Im anhang: Aktuelles hjt-file, combofix, 6 x datfindbat und fixwareout report.
Besten Dank für Eure Mühe
SchorschBB
----------
O17 - HKLM\System\CCS\Services\Tcpip\..\{129A1A1E-734C-477F-B7B4-E6490FE6B115}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{48D63E68-712D-41DD-9152-52CD256200FB}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{C620078D-EEFC-4C11-9B08-BED60DBED623}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6039878-7051-4A95-B214-66930BADF623}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{129A1A1E-734C-477F-B7B4-E6490FE6B115}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CS3\Services\Tcpip\..\{129A1A1E-734C-477F-B7B4-E6490FE6B115}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
----------------
Verzeichnis von C:\WINDOWS\system32
20.10.2006 10:48 51.744 CSLCI.0XE
Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B6D580C6A221-D34B-CE24-9E6D-D61FE28E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4BA945BF8A54-BA99-5B14-F682-546C1A62{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\bqtmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1trap
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\2trap
...
Random Runs removed from HKLM
"dmtqb.exe"=-
...
PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»» Searching by size/names...
»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\DMTQB.EXE 60.998 2004-08-04
C:\WINDOWS\SYSTEM32\DMVTP.EXE 60.998 2004-08-04
Other suspects.
Directory of C:\WINDOWS\system32
»»»»» Misc files.
»»»»» Checking for older varients covered by the Rem3 tool.