Problem ähnl. W32.Blaster |
||
---|---|---|
#0
| ||
30.12.2006, 17:51
...neu hier
Beiträge: 2 |
||
|
||
30.12.2006, 20:00
Ehrenmitglied
Beiträge: 29434 |
#2
1.
Erstellen eines Hijackthis-Logfiles http://computercops.biz/zx/Merijn/hijackthis.zip http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.12.2006, 21:50
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo, danke für die prompte Antwort.
Anbei also die Logfiles: Logfile of HijackThis v1.97.7 Scan saved at 21:25:37, on 30.12.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Michi\Desktop\Verschiedenes\Zeuch\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: Web-Anti-Virus (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E0F37A64-34EE-4B69-979E-C55A0DD8F397}: NameServer = 195.50.140.252 195.50.140.114 Michi - 06-12-30 21:30:33,79 Service Pack 1 ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Michi\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-11-30 to 2006-12-30 )))))))))))))))))))))))))))))))))) 2006-12-30 17:20 <DIR> d-a--c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2006-12-28 12:40 0 --ahs---- C:\WINDOWS\system32\.exe 2006-12-12 18:16 61,584 --a------ C:\WINDOWS\system32\drivers\klick.sys 2006-12-12 18:16 59,536 --a------ C:\WINDOWS\system32\drivers\klin.sys 2006-12-12 18:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2006-12-12 18:15 <DIR> d-------- C:\Programme\Kaspersky Lab 2006-12-12 18:14 <DIR> d----c--- C:\avenger 2006-12-12 17:42 <DIR> d----c--- C:\KAV 2006-12-10 11:12 11,648 --a------ C:\WINDOWS\system32\drivers\pxscrmbl.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-30 21:26 -------- d-------- C:\Programme\CleanUp! 2006-12-30 19:27 -------- d-------- C:\Programme\Trillian 2006-12-29 15:55 -------- d-------- C:\Programme\Warcraft III 2006-12-28 12:40 0 --ahs---- C:\WINDOWS\system32\.exe 2006-12-28 10:24 -------- d-------- C:\Programme\Demos 2006-12-23 14:18 -------- d-a------ C:\Programme\Gemeinsame Dateien 2006-12-23 14:16 -------- d-------- C:\Programme\You Don't Know Jack 4 2006-12-23 14:12 -------- d-------- C:\Programme\EA GAMES 2006-12-23 14:09 -------- d-------- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\InstallShield Installation Information 2006-12-23 14:03 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-12-14 11:19 -------- d-------- C:\Programme\Winamp 2006-12-14 11:18 -------- d-------- C:\Programme\NetMeeting 2006-12-14 11:17 -------- d-------- C:\Programme\Java Web Start 2006-12-03 15:15 -------- d-------- C:\Programme\ElsterFormular2005 2006-11-28 20:47 -------- d-------- C:\Programme\Ahead 2006-11-15 15:44 18273 --a------ C:\WINDOWS\system32\drivers\klop.sys 2006-11-11 11:46 -------- d-------- C:\Programme\FlashGet 2006-11-11 11:25 -------- d---s---- C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Microsoft 2006-11-01 17:42 94314 --a------ C:\WINDOWS\system32\klogon.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide" "TuneUp MemOptimizer"="\"C:\\Programme\\TuneUp Utilities 2004\\MemOptimizer.exe\" autostart" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "Logitech Utility"="Logi_MwX.Exe" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\"" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,b9,00,00,00,7c,00,00,00,72,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 "NoLowDiskSpaceChecks"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"=dword:00000001 "LinkResolveIgnoreLinkInfo"=dword:00000000 "NoResolveSearch"=dword:00000001 "NoCDBurning"=dword:00000000 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled] "nwiz"="nwiz.exe /install" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE " "item"="Adobe Gamma Loader" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe " "item"="Adobe Reader Speed Launch" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk.disabled] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk.disabled" "backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnk.disabledCommon Startup" "location"="Common Startup" "command"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader Speed Launch.lnk.disabled" "item"="Adobe Reader Speed Launch.lnk" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BTTray.lnk" "backup"="C:\\WINDOWS\\pss\\BTTray.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Widcomm\\BLUETO~1\\BTTray.exe " "item"="BTTray" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CONNECTAUTrayApp.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CONNECTAUTrayApp.lnk" "backup"="C:\\WINDOWS\\pss\\CONNECTAUTrayApp.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Sony\\CONNECTAutoUpdate\\CONNECTAUTrayApp.exe " "item"="CONNECTAUTrayApp" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\hpoddt01.exe.lnk" "backup"="C:\\WINDOWS\\pss\\hpoddt01.exe.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpotdd01.exe " "item"="hpoddt01.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PC-Bibliothek-Direktsuche.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PC-Bibliothek-Direktsuche.lnk" "backup"="C:\\WINDOWS\\pss\\PC-Bibliothek-Direktsuche.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Lexikon\\PCLib.exe " "item"="PC-Bibliothek-Direktsuche" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALDI_SUED_FotoSuite_Download] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="FotoSuite" "hkey"="HKLM" "command"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\" /autorun" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="avgnt" "hkey"="HKLM" "command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="avp" "hkey"="HKLM" "command"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ElbyCheck" "hkey"="HKLM" "command"="\"C:\\Programme\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CONNECTScheduler] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="CONNECTScheduler" "hkey"="HKLM" "command"="\"C:\\Programme\\Sony\\CONNECTAutoUpdate\\CONNECTScheduler.exe\" /RUN_SCHEDULER" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ctfmon" "hkey"="HKCU" "command"="C:\\WINDOWS\\System32\\ctfmon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DSLAGENTEXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dslagent" "hkey"="HKLM" "command"="dslagent.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DSLSTATEXE] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dslstat" "hkey"="HKLM" "command"="C:\\Program Files\\GlobespanVirata\\Adsl\\dslstat.exe icon" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DXDllRegExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dxdllreg" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\dxdllreg.exe " "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gzsh] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="gzsh" "hkey"="HKLM" "command"="C:\\WINDOWS\\gzsh.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dumprep 0 -k" "hkey"="HKLM" "command"="%systemroot%\\system32\\dumprep 0 -k" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mcagent" "hkey"="HKLM" "command"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McRegWiz] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="McRegWiz" "hkey"="HKLM" "command"="C:\\PROGRA~1\\McAfee.com\\Agent\\McRegWiz.exe /autorun" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mcupdate" "hkey"="HKLM" "command"="C:\\PROGRA~1\\mcafee.com\\agent\\mcupdate.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msbb" "hkey"="HKLM" "command"="c:\\dokume~1\\besitzer\\lokale~1\\temp\\msbb.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NvCpl" "hkey"="HKLM" "command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NvMcTray" "hkey"="HKLM" "command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nwiz" "hkey"="HKLM" "command"="nwiz.exe /install" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrbitUpdate] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="update" "hkey"="HKLM" "command"="C:\\Programme\\Orbit\\update.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrbitView] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="view" "hkey"="HKLM" "command"="C:\\Programme\\Orbit\\view.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PSDrvCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="powerscan" "hkey"="HKLM" "command"="C:\\Programme\\Power Scan\\powerscan.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] "key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows" "item"="wmplayer" "hkey"="HKCU" "command"="C:\\WINDOWS\\System32\\services\\wmplayer.exe" "inimapping"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sais] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="sais" "hkey"="HKLM" "command"="c:\\programme\\180solutions\\sais.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SsAAD" "hkey"="HKCU" "command"="C:\\PROGRA~1\\Sony\\SONICS~1\\SsAAD.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Steam" "hkey"="HKCU" "command"="\"C:\\Programme\\Valve\\Half Life 2\\Steam.exe\" -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winampa" "hkey"="HKLM" "command"="C:\\Programme\\Winamp\\winampa.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xpsystem] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="wmplayer" "hkey"="HKCU" "command"="C:\\WINDOWS\\System32\\services\\wmplayer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\_AntiSpyware] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="MssCli" "hkey"="HKLM" "command"="C:\\Programme\\McAfee\\McAfee AntiSpyware\\MssCli.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "Messenger"=dword:00000002 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job Completion time: 06-12-30 21:34:26.04 C:\ComboFix.txt ... 06-12-30 21:34 C:\ComboFix2.txt ... 06-11-29 21:23 Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\WINDOWS\system32 30.12.2006 21:21 892 vsconfig.xml 30.12.2006 21:19 22.070 nvapps.xml 30.12.2006 19:27 21.481 ikhcore.log 28.12.2006 12:40 0 .exe 27.12.2006 10:29 1.374 wpa.dbl 11.12.2006 19:36 22.918 seite19.html 11.12.2006 19:36 18.607 seite18.html 11.12.2006 19:36 19.452 seite17.html 11.12.2006 19:36 18.436 seite16.html 11.12.2006 19:36 18.492 seite15.html 11.12.2006 19:36 21.438 seite14.html 11.12.2006 19:36 18.868 seite13.html 11.12.2006 19:36 19.148 seite12.html 11.12.2006 19:36 22.212 seite11.html 11.12.2006 19:36 20.780 seite10.html 11.12.2006 19:36 20.116 seite09.html 11.12.2006 19:36 20.604 seite08.html 11.12.2006 19:36 20.964 seite07.html 11.12.2006 19:36 20.260 seite06.html 11.12.2006 19:36 20.460 seite05.html 11.12.2006 19:36 19.892 seite04.html 11.12.2006 19:36 18.206 seite03.html 11.12.2006 19:36 18.905 seite02.html 11.12.2006 19:36 18.719 seite01.html 11.12.2006 19:36 19.189 OemLink.htm 11.12.2006 19:36 4.551 navigation-rechts.html 11.12.2006 19:36 19.189 index.html 10.12.2006 18:00 4.610 ModemLog_AVM ISDN BTX.txt 10.12.2006 18:00 4.162 ModemLog_AVM ISDN Custom Config.txt 10.12.2006 18:00 4.620 ModemLog_AVM ISDN FAX (G3).txt 10.12.2006 18:00 4.660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt 10.12.2006 18:00 4.672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt 10.12.2006 18:00 4.632 ModemLog_AVM ISDN Mailbox (X.75).txt 10.12.2006 18:00 4.630 ModemLog_AVM ISDN - ISDN (X.75).txt 10.12.2006 18:00 4.642 ModemLog_AVM ISDN RAS (PPP over ISDN).txt 10.12.2006 18:00 4.652 ModemLog_AVM ISDN Internet (PPP over ISDN).txt 07.11.2006 17:38 10.342.824 MRT.exe 01.11.2006 17:42 94.314 klogon.dll 29.10.2006 08:35 59.950 perfc009.dat 29.10.2006 08:35 404.518 perfh009.dat 29.10.2006 08:35 415.168 perfh007.dat 29.10.2006 08:35 70.766 perfc007.dat 29.10.2006 08:35 963.502 PerfStringBackup.INI Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\DOKUME~1\Michi\LOKALE~1\Temp 30.12.2006 21:20 16.384 ~DFC53F.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 31.173.275.648 Bytes frei Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\WINDOWS 30.12.2006 21:20 0 0.log 30.12.2006 21:19 50 wiaservc.log 30.12.2006 21:19 159 wiadebug.log 30.12.2006 21:18 2.048 bootstat.dat 30.12.2006 19:27 32.570 SchedLgU.Txt 23.12.2006 14:13 388 SIERRA.INI 13.12.2006 15:31 352 SYSTEM.INI 13.12.2006 15:31 1.066 win.ini 12.12.2006 18:35 3.777.402 setupapi.log 10.12.2006 18:01 6.016 ModemLog_Bluetooth Fax Modem.txt 10.12.2006 18:01 6.012 ModemLog_Bluetooth Modem.txt 10.12.2006 11:26 104.789 pxinstall_log.txt 03.12.2006 15:16 3.218 tm.ini 03.12.2006 15:15 124 tdf.dii 28.11.2006 20:48 316.640 WMSysPr9.prx 28.11.2006 20:41 487 Clony2.ini 11.11.2006 13:11 1.204 nefbcrjn.txt 07.11.2006 20:31 218.562 setupact.log 29.10.2006 18:24 398.741 DirectX.log Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\WINDOWS\Temp 30.12.2006 21:20 256 ZLT01b48.TMP 1 Datei(en) 256 Bytes 0 Verzeichnis(se), 31.173.132.288 Bytes frei Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 14:36 5.019 swflash.inf 29.01.2003 09:12 65 desktop.ini 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 14.10.1997 18:52 697 DirectAnimation Java Classes.osd 4 Datei(en) 6.943 Bytes 0 Verzeichnis(se), 31.173.263.360 Bytes frei Datentr„ger in Laufwerk C: ist C Volumeseriennummer: A829-E733 Verzeichnis von C:\ 30.12.2006 21:48 0 sys.txt 30.12.2006 21:48 474 down.txt 30.12.2006 21:48 265 tmp.txt 30.12.2006 21:47 23.702 system.txt 30.12.2006 21:47 280 systemtemp.txt 30.12.2006 21:47 109.360 system32.txt 30.12.2006 21:18 536.399.872 hiberfil.sys 30.12.2006 21:18 805.306.368 pagefile.sys 30.12.2006 16:34 939.929 hpfr3425.log 30.12.2006 16:32 525 hpfr3420.xml 13.12.2006 15:31 194 boot.ini 12.12.2006 18:07 4.358 avenger.txt |
|
|
||
31.12.2006, 15:51
Ehrenmitglied
Beiträge: 29434 |
#4
Hourglass
«« Start - Ausfuehren - regedit [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoStrCmpLogical"=dword:00000001 - in 0 aendern "NoResolveSearch"=dword:00000001 - in 0 aendern «« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb falls sich die exe wieder neu erstellt - musst du sie suchen ud noch mal manuell loeschen C:\WINDOWS\system32\.exe »» lade counterspy, das proggie muesste den krepper-Trojaner loeschen http://virus-protect.org/counterspy.html poste hier den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe seit einigen Wochen einen Wurm (?) auf dem PC, den ich einfach nicht wegbekomme.
Habe auch schon hier im Forum gesucht, jedoch ist es schwierig nach einem Problem zu suchen, den man nicht benennen kann.
Und zwar äußerst sich das folgendermaßen:
Sobald ich ungeschützt ins Internet gehe (benutze normalerweise die ZoneAlarm Firewall), was einige Anwendungen erfordern, dauert es noch etwa 30 Minuten, bis sich ein Fenster öffnet, welches mir sagt der PC werde heruntergefahren auf Grund eines Fehlers. Nebendran ein Countdown von 1 Minute.
Der Befehl lässt sich zwar mit 'shutdown -a' unterbinden, jedoch ist das System danach mehr als instabil.
Die Charakteristik hat mich sofort an den W32.Blaster denken lassen, als ich jedoch ein Progtamm durchlaufen ließ ('Fixblast'), um den Wurm zu lokalisieren und vernichten, fand dieses nichts.
Auch mein normaler Virenscanner (Kaspersky Antivirus) zeigt nichts an.
Nun meine Frage an euch, habt ihr von sowas schonmal gehört/gibt es patente Lösungen, um diesen Fehler zu beheben?
Ich danke schon im Voraus ganz herzlich,
Gruß Hourglass