NOD 32 meldet ihmer bei neu start Win32/Ciadoor.13 Trojaner |
||
---|---|---|
#0
| ||
21.12.2006, 13:52
Member
Themenstarter Beiträge: 38 |
||
|
||
21.12.2006, 13:56
Ehrenmitglied
Beiträge: 29434 |
#32
Avenger
Zitat Folders to delete: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:00
Ehrenmitglied
Beiträge: 29434 |
#33
poste dieses log
http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:25
Member
Themenstarter Beiträge: 38 |
#34
"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Business Services"] "nod32kui" = ""C:\Programme\Eset\nod32kui.exe" /WAITSERVICE" ["Eset "] "Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS] "SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = (no title provided) -> {HKLM...CLSID} = "PCTools Site Guard" \InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll" ["PC Tools"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] {B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = (no title provided) -> {HKLM...CLSID} = "PCTools Browser Monitor" \InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll" ["PC Tools"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx" -> {HKLM...CLSID} = "AlcoholShellEx" \InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"] "{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension" -> {HKLM...CLSID} = "TuneUp Theme Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"] "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" = "NOD32 Context Menu Shell Extension" -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data] "{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager" -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager" \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"] "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware" -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook" \InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" [file not found] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension" \InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" [file not found] TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" -> {HKLM...CLSID} = "TuneUp Shredder Shell Extension" \InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension\(Default) = "{B089FE88-FB52-11D3-BDF1-0050DA34150D}" -> {HKLM...CLSID} = "NOD32 Context Menu Shell Extension" \InProcServer32\(Default) = "C:\Programme\Eset\nodshex.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoUserNameInStartMenu" = (REG_DWORD) hex:0x00000000 {unrecognized setting} "StartMenuLogOff" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKCU\Software\Policies\Microsoft\Windows\System\ "DisableCMD" = (REG_DWORD) hex:0x00000000 {Disable the command prompt} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"] "FRU Task #Hewlett-Packard#hp psc 2100 series#1136476698" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2100 series#1136476698"" [empty string] "MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\system32\imon.dll ["Eset "], 01 - 05, 23 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11 - 22 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided) -> {HKLM...CLSID} = "Real.com" \InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["AOL LLC"] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"] NOD32 Kernel Service, NOD32krn, ""C:\Programme\Eset\nod32krn.exe"" ["Eset "] PC Tools Spyware Doctor, SDhelper, "C:\Programme\Spyware Doctor\sdhelp.exe" ["PC Tools Research Pty Ltd"] SmartLinkService, SLService, "slserv.exe" ["Smart Link"] StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"] T-DSL SpeedManager, TSMService, ""C:\Programme\T-DSL SpeedManager\TSMSvc.exe"" ["T-Systems Business Services"] TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]} WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzlnt05\Driver = "hpzlnt05.dll" ["HP"] ---------- <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 147 seconds, including 18 seconds for message boxes) Hab ich richtige gepost hier oder???? |
|
|
||
21.12.2006, 14:31
Ehrenmitglied
Beiträge: 29434 |
#35
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein Zitat expand c:\WINDOWS\ServicePackFiles\i386\svchost.exe c:\WINDOWS\system32\dllcache\svchost.exeklicke enter und berichte, ob es geklappt hat ------ Start - Ausfuehren - reinschreiben : cmd tippe dies: (oder kopiere es von hier ab) tasklist /svc dann Entertaste drücken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:35
Member
Themenstarter Beiträge: 38 |
#36
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp. C:\Dokumente und Einstellungen\Gigolo>expand c:\WINDOWS\ServicePackFiles\i386\sv chost.exe c:\WINDOWS\system32\dllcache\svchost.exe Microsoft (R) Dateiexpansionsprogramm Version 5.1.2600.0 Copyright (C) Microsoft Corp 1990-1999. Alle Rechte vorbehalten. c:\windows\servicepackfiles\i386\svchost.exe wird nach c:\windows\system32\dllca che\svchost.exe kopiert. c:\windows\servicepackfiles\i386\svchost.exe: 14336 Bytes kopiert. C:\Dokumente und Einstellungen\Gigolo> C:\Dokumente und Einstellungen\Gigolo> |
|
|
||
21.12.2006, 14:37
Ehrenmitglied
Beiträge: 29434 |
#37
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein Zitat dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:45
Member
Themenstarter Beiträge: 38 |
#38
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC3B-5734 Verzeichnis von c:\Programme\Gemeinsame Dateien\aol\1165995551\ee 06-11-17 14:14 6,541 svchost.bin 1 Datei(en) 6,541 Bytes Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ 02-08-29 13:00 12,800 svchost.exe 1 Datei(en) 12,800 Bytes Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 04-08-04 00:58 14,336 svchost.exe 1 Datei(en) 14,336 Bytes Verzeichnis von c:\WINDOWS\system32 06-12-19 08:33 14,336 svchost.exe 1 Datei(en) 14,336 Bytes Verzeichnis von c:\WINDOWS\system32\dllcache 04-08-04 00:58 14,336 svchost.exe 1 Datei(en) 14,336 Bytes Anzahl der angezeigten Dateien: 5 Datei(en) 62,349 Bytes 0 Verzeichnis(se), 23,114,854,400 Bytes frei |
|
|
||
21.12.2006, 14:47
Ehrenmitglied
Beiträge: 29434 |
#39
1.
wie geht es dem Rechner ? besser ???? 2. scanne mit Kaspersky und poste hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:50
Member
Themenstarter Beiträge: 38 |
#40
das rechner gehets gut,aber das problem mit alle programe wo ich keine zugrif habe bleibt,kann ich etwas machen???
jetzt mach ich kasperski!!!! |
|
|
||
21.12.2006, 15:58
Ehrenmitglied
Beiträge: 29434 |
#41
Zitat problem mit alle programe wo ich keine zugrif habedas musst du mir bitte genau erklaeren - was passiert ? wenn du die ganzen Pornos meinst, die unter erhaltenen Dateien sind - die sind mit einem passwort geschuetzt - das hat deine Ehehaelfte so eingerichtet. - damit du nicht rankommst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 16:51
Member
Themenstarter Beiträge: 38 |
#42
ne ich meine nach dem ich das.Wie du has gesagt ich hab den Untersuchung mit Sophos gemacht und noch beim start den program ist etwas pasier und von desktop sind alle verknüpfungen verschwunden aus Papierkorb.Und ich hab keine zugrif zum programe wo auf mein rechner sind.
Bald ist Kaspersky fertig. |
|
|
||
21.12.2006, 16:58
Ehrenmitglied
Beiträge: 29434 |
#43
ueberhaupt keinen Zugriff mehr ? wenn du auf ein Programm klickst - was passiert »
wenn alles im papierkorb gelandet ist, so bringe sie alle wieder zurueck, also nicht den Papaierkorb leeren ! «« Gehe mit der Maus auf eine freie Fläche auf dem Desktop und mache einen rechtsklick. Dann auf "Eigenschaften"- "Desktop". Unten links auf "Desktop anpassen" und bei "Desktopbereinigungsassistent alle 60 Tage ausführen" den Haken raus nehmen. Auf Übernehmen und OK klicken. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 17:04
Member
Themenstarter Beiträge: 38 |
#44
ne alle sind noch auf dem festplate aber beim Start/Alle Programme sind auch hier aber die ordner sind leer.
|
|
|
||
21.12.2006, 17:11
Ehrenmitglied
Beiträge: 29434 |
#45
klicke mit rechtsklick auf ein Programm - Eigenschaften - poste was dort alles steht
dann suche auf der Festplatte dieses Programm, klicke es an und berichte, ob es funktioniert __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Volumeseriennummer: BC3B-5734
Verzeichnis von c:\Dokumente und Einstellungen\Gigolo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WRRDZAY5
06-12-21 13:44 12,184 svchost_run[1].htm
1 Datei(en) 12,184 Bytes
Verzeichnis von c:\Programme\Gemeinsame Dateien\aol\1165995551\ee
06-11-17 14:14 6,541 svchost.bin
1 Datei(en) 6,541 Bytes
Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$
02-08-29 13:00 12,800 svchost.exe
1 Datei(en) 12,800 Bytes
Verzeichnis von c:\WINDOWS\ServicePackFiles\i386
04-08-04 00:58 14,336 svchost.exe
1 Datei(en) 14,336 Bytes
Verzeichnis von c:\WINDOWS\system32
06-12-19 08:33 14,336 svchost.exe
1 Datei(en) 14,336 Bytes
Anzahl der angezeigten Dateien:
5 Datei(en) 60,197 Bytes
0 Verzeichnis(se), 23,115,513,856 Bytes frei