Habe einen Virus und bekomme ihn nicht mehr weg !!!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
16.01.2007, 11:11
Member
Beiträge: 107 |
||
![]() ![]() |
|
|
16.01.2007, 11:15
Ehrenmitglied
![]() Beiträge: 29434 |
#2
Mario Jäger
1. Erstellen eines Hijackthis-Logfiles http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner ---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" --------------------------------------------------------------- 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 11:18
Member
Themenstarter Beiträge: 107 |
#3
Hier der erste teil von dem Hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 11:18:01, on 16.01.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Mario Jäger\Eigene Dateien\gedownloadet sicherheit\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165768694733 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168088509076 O20 - AppInit_DLLs: "c:\progra~1\kasper~1\kasper~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe __________ Mit lieben Grüßen euer Mario |
|
![]() ![]() |
|
|
16.01.2007, 11:20
Ehrenmitglied
![]() Beiträge: 29434 |
#4
2.
Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 11:29
Member
Themenstarter Beiträge: 107 |
#5
Bin ja nicht mal mit der ersten deiner anweisung fertig geworden :-)
hier der teil von combofix ComboFix 07-01-15 - Running from: "C:\Dokumente und Einstellungen\Mario J„ger\Eigene Dateien\gedownloadet sicherheit\hijackthis" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\INSTALL.LOG C:\WINDOWS\System\smss.exe ((((((((((((((((((((((((((((((( Files Created from 2006-12-16 to 2007-01-16 )))))))))))))))))))))))))))))))))) 2007-01-15 21:11 <DIR> d----c--- C:\Programme\CCleaner 2007-01-15 15:18 <DIR> d----c--- C:\Programme\Kaspersky Lab 2007-01-15 15:18 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Kaspersky Lab 2007-01-15 15:11 <DIR> d----c--- C:\kav 2007-01-15 14:50 <DIR> d----c--- C:\WINDOWS\system32\Kaspersky Lab 2007-01-14 22:06 <DIR> d----c--- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\TuneUp Software 2007-01-14 21:47 <DIR> d--h-c--- C:\WINDOWS\system32\GroupPolicy 2007-01-14 19:21 <DIR> d----c--- C:\Programme\TopWare 2007-01-12 21:54 40,960 --a--c--- C:\WINDOWS\system32\SSubTmr6.dll 2007-01-12 21:54 118,784 --a--c--- C:\WINDOWS\system32\vbalNCSM6.dll 2007-01-12 21:54 101,888 --a--c--- C:\WINDOWS\system32\Vb6stkit.dll 2007-01-11 20:06 921,600 --a--c--- C:\WINDOWS\system32\vorbisenc.dll 2007-01-11 20:06 45,056 --a--c--- C:\WINDOWS\system32\ogg.dll 2007-01-11 20:06 237,568 --a--c--- C:\WINDOWS\system32\OggDS.dll 2007-01-11 20:06 188,416 --a--c--- C:\WINDOWS\system32\vorbis.dll 2007-01-11 20:05 258,352 --a--c--- C:\WINDOWS\system32\unicows.dll 2007-01-10 14:03 <DIR> d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\Talkback 2007-01-10 14:02 <DIR> d----c--- C:\Programme\Mozilla Firefox 2007-01-10 13:22 59 --ah-c--- C:\WINDOWS\system32\SWCTL.DLL 2007-01-10 13:22 <DIR> d----c--- C:\WINDOWS\system32\tmr 2007-01-10 13:22 <DIR> d----c--- C:\WINDOWS\system32\bin 2007-01-10 13:22 <DIR> d----c--- C:\Programme\Chico 2007-01-08 19:25 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Nero 2007-01-08 19:23 <DIR> d----c--- C:\Programme\T-Online 2007-01-08 19:23 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\T-Online 2007-01-08 18:04 98,816 --a--c--- C:\WINDOWS\system32\Dec130.dll 2007-01-08 18:04 96,768 --a--c--- C:\WINDOWS\system32\Winsdec.dll 2007-01-08 18:04 80,896 --a--c--- C:\WINDOWS\system32\Winstr.dll 2007-01-08 18:04 60,416 --a--c--- C:\WINDOWS\system32\Winplay.dll 2007-01-08 18:04 117,248 --a--c--- C:\WINDOWS\system32\Edec.dll 2007-01-08 18:02 305,664 --a--c--- C:\WINDOWS\IsUn0407.exe 2007-01-06 14:28 <DIR> d--h-c--- C:\WINDOWS\msdownld.tmp 2007-01-06 14:27 <DIR> d----c--- C:\WINDOWS\Windows Update Setup-Dateien 2007-01-06 14:26 <DIR> d----c--- C:\WINDOWS\Verlauf 2007-01-01 19:11 86,016 --a--c--- C:\WINDOWS\unvise32.exe 2006-12-26 17:16 89,360 --a--c--- C:\WINDOWS\system32\VB5DB.DLL 2006-12-26 17:16 69,632 --a--c--- C:\WINDOWS\system32\xmltok.dll 2006-12-26 17:16 36,864 --a--c--- C:\WINDOWS\system32\xmlparse.dll 2006-12-26 17:16 26,088 --a--c--- C:\WINDOWS\system32\xmlinst.exe 2006-12-26 17:16 24,576 --a--c--- C:\WINDOWS\system32\msxml3a.dll 2006-12-26 17:16 <DIR> d----c--- C:\Programme\Ubi Soft 2006-12-25 14:02 <DIR> d----c--- C:\WINDOWS\17BB7031B6D94D27A3A1B0E672A0972C.TMP 2006-12-23 10:44 24,072 --a--c--- C:\WINDOWS\system32\uxtuneup.dll 2006-12-23 10:44 <DIR> d----c--- C:\Programme\TuneUp Utilities 2007 2006-12-23 10:44 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-12-22 19:12 <DIR> d----c--- C:\WINDOWS\system32\FlashPlayer 2006-12-17 20:04 <DIR> d----c--- C:\Temp (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-15 15:17 -------- d----c--- C:\Programme\Gemeinsame Dateien\symantec shared 2007-01-15 15:15 -------- d----c--- C:\Programme\symantec 2007-01-15 14:09 -------- d----c--- C:\Programme\icqtoolbar 2007-01-15 14:08 -------- d----c--- C:\Programme\trillian 2007-01-15 12:57 -------- d---sc--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\microsoft 2007-01-11 20:16 11973 --a--c--- C:\WINDOWS\system32\drivers\secdrv.sys 2007-01-11 19:59 -------- d--h-c--- C:\Programme\installshield installation information 2007-01-10 14:02 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\mozilla 2007-01-08 19:23 -------- d----c--- C:\Programme\Gemeinsame Dateien\installshield 2007-01-06 14:30 -------- d----c--- C:\Programme\Gemeinsame Dateien\dienste 2007-01-03 22:12 53248 --ahsc--- C:\Programme\thumbs.db 2006-12-31 13:26 2116992 --a--c--- C:\WINDOWS\system32\tukernel.exe 2006-12-25 14:02 -------- d----c--- C:\Programme\norton antivirus 2006-12-16 21:45 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icq toolbar 2006-12-15 19:20 -------- d----c--- C:\Programme\icqlite 2006-12-15 19:20 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icqlite 2006-12-15 18:45 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icq 2006-12-10 17:47 -------- d--h-c--- C:\Programme\windowsupdate 2006-12-09 15:00 -------- d----c--- C:\Programme\msworks 2006-12-04 22:04 -------- d----c--- C:\Programme\3d drunken clock 2006-12-02 13:53 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\tuneup software 2006-12-01 20:44 606848 --a--c--- C:\WINDOWS\flashax.exe 2006-12-01 20:44 12288 --a--c--- C:\WINDOWS\impborl.dll 2006-11-25 18:23 43520 --a--c--- C:\WINDOWS\system32\cmdlineext03.dll 2006-11-20 22:29 -------- d----c--- C:\Programme\rondomedia 2006-11-20 22:05 -------- d----c--- C:\Programme\virtual cd v8 2006-11-17 10:26 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\help 2006-11-13 17:28 118784 -r---c--- C:\WINDOWS\bwunin-7.2.0.157-8876480sl.exe 2006-11-11 15:06 85 ---hsc--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\.zreglib 2006-11-01 17:42 94314 --a--c--- C:\WINDOWS\system32\klogon.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "NeroFilterCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" "AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\"" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk" "backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start" "item"="Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ccApp" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LogitechDesktopMessenger" "hkey"="HKCU" "command"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="UsrPrmpt" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="UrlLstCk" "hkey"="HKLM" "command"="C:\\Programme\\Norton Internet Security\\UrlLstCk.exe" "inimapping"="0" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableClock"=dword:00000000 "NoDispCPL"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSetFolders"=dword:00000000 "NoSetTaskbar"=dword:00000000 "NoSaveSettings"=dword:00000000 "NoRun"=dword:00000000 "NoFind"=dword:00000000 "LWA"=dword:00000000 "LWB"=dword:00000000 "LWC"=dword:00000000 "LWD"=dword:00000000 "LWE"=dword:00000000 "LWF"=dword:00000000 "LWG"=dword:00000000 "LWH"=dword:00000000 "LWI"=dword:00000000 "LWJ"=dword:00000000 "LWK"=dword:00000000 "LWL"=dword:00000000 "LWM"=dword:00000000 "LWN"=dword:00000000 "LWO"=dword:00000000 "LWP"=dword:00000000 "LWQ"=dword:00000000 "LWR"=dword:00000000 "LWS"=dword:00000000 "LWT"=dword:00000000 "LWU"=dword:00000000 "LWV"=dword:00000000 "LWW"=dword:00000000 "LWX"=dword:00000000 "LWY"=dword:00000000 "LWZ"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source REG_SZ C:\Dokumente und Einstellungen\Mario Jäger\Eigene Dateien\Sicherheit\Melanie Schwank\Melanie geändert.jpg [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 tapisrv REG_MULTI_SZ Tapisrv\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* UxTuneUp Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1158090649.job Completion time: 07-01-16 11:27:42 __________ Mit lieben Grüßen euer Mario |
|
![]() ![]() |
|
|
16.01.2007, 11:33
Ehrenmitglied
![]() Beiträge: 29434 |
#6
4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 11:42
Member
Themenstarter Beiträge: 107 |
#7
Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\system32 16.01.2007 11:23 63.804 nvapps.xml 14.01.2007 20:46 196.960 FNTCACHE.DAT 10.01.2007 13:59 59 SWCTL.DLL 08.01.2007 19:23 93 NULL 02.01.2007 14:09 2.184 wpa.dbl 31.12.2006 13:26 2.116.992 TUKernel.exe 10.12.2006 17:43 311.604 perfh009.dat 10.12.2006 17:43 39.992 perfc009.dat 10.12.2006 17:43 316.594 perfh007.dat 10.12.2006 17:43 48.156 perfc007.dat 10.12.2006 17:43 723.744 PerfStringBackup.INI 25.11.2006 18:23 43.520 CmdLineExt03.dll 23.11.2006 16:45 24.072 uxtuneup.dll 15.11.2006 21:20 10.474.920 MRT.exe 01.11.2006 17:42 94.314 klogon.dll 17.10.2006 21:06 3.200 qtplugin.log 30.09.2006 16:41 16.832 amcompat.tlb 30.09.2006 16:41 23.392 nscompat.tlb 21.09.2006 20:55 552 d3d8caps.dat 12.09.2006 20:37 0 h323log.txt 12.09.2006 20:25 25.065 wmpscheme.xml 12.09.2006 20:02 261 $winnt$.inf 12.09.2006 20:00 2.951 CONFIG.NT 12.09.2006 19:59 488 WindowsLogon.manifest 12.09.2006 19:59 488 logonui.exe.manifest 12.09.2006 19:59 749 nwc.cpl.manifest 12.09.2006 19:59 749 sapi.cpl.manifest 12.09.2006 19:59 749 cdplayer.exe.manifest 12.09.2006 19:59 749 wuaucpl.cpl.manifest 12.09.2006 19:59 749 ncpa.cpl.manifest 12.09.2006 19:58 21.740 emptyregdb.dat Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\DOKUME~1\MARIOJ~1\LOKALE~1\Temp 16.01.2007 11:37 85.470 lnames.txt.cab 16.01.2007 11:37 187.993 lnames.txt 16.01.2007 11:37 88.071 fnames.txt 16.01.2007 11:37 28.894 fnames.txt.cab 16.01.2007 11:34 126.354 domains.txt.cab 16.01.2007 11:34 368.243 domains.txt 16.01.2007 11:34 43 autorun.inf 16.01.2007 11:34 49.152 setup.exe 16.01.2007 11:34 48 hdd.z.exe.conf 16.01.2007 11:34 25.600 69exhdd.z.exe 16.01.2007 11:34 50 ssd32.a3.exe.conf 16.01.2007 11:34 23.552 8exssd32.a3.exe 16.01.2007 11:34 48.128 6exmodul32g.3.exe 16.01.2007 11:34 52 modul32g.3.exe.conf 14 Datei(en) 1.031.650 Bytes 0 Verzeichnis(se), 131.482.312.704 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS 16.01.2007 11:23 0 0.log 16.01.2007 11:23 159 wiadebug.log 16.01.2007 11:23 50 wiaservc.log 16.01.2007 11:23 2.048 bootstat.dat 16.01.2007 11:22 32.562 SchedLgU.Txt 15.01.2007 20:25 69 NeroDigital.ini 15.01.2007 12:09 227 system.ini 15.01.2007 12:09 1.612 win.ini 10.01.2007 14:13 1.152 mozver.dat 10.01.2007 14:02 0 nsreg.dat 08.01.2007 18:10 934 disney.ini 22.12.2006 13:11 1.740 wizards.ini 01.12.2006 20:44 606.848 flashax.exe 01.12.2006 20:44 12.288 impborl.dll 13.11.2006 17:28 118.784 bwUnin-7.2.0.157-8876480SL.exe 30.09.2006 16:40 316.640 WMSysPr9.prx 12.09.2006 21:06 81.920 bwUnin-6.1.4.68-8876480L.exe 12.09.2006 21:03 400 ODBC.INI 12.09.2006 20:50 20.454 hpoins01.dat 12.09.2006 20:22 0 Sti_Trace.log 12.09.2006 20:03 8.192 REGLOCS.OLD 12.09.2006 20:00 0 control.ini 12.09.2006 20:00 299.552 WMSysPrx.prx 12.09.2006 20:00 4.161 ODBCINST.INI 12.09.2006 19:59 749 WindowsShell.Manifest 12.09.2006 19:58 37 vbaddin.ini 12.09.2006 19:58 36 vb.ini Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\Temp <<<< steht nicht mehr dabei :-/ Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.01.2007 14:30 65 desktop.ini 08.08.2006 11:45 576 kavwebscan.inf 22.06.2006 10:41 5.032 swflash.inf 26.05.2005 04:19 293 muweb.inf 26.05.2005 04:19 291 wuweb.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 6 Datei(en) 7.419 Bytes 0 Verzeichnis(se), 131.481.980.928 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\ 16.01.2007 11:42 0 sys.txt 16.01.2007 11:41 563 down.txt 16.01.2007 11:41 117 tmp.txt 16.01.2007 11:41 3.677 system.txt 16.01.2007 11:40 968 systemtemp.txt 16.01.2007 11:40 99.222 system32.txt 16.01.2007 11:27 11.312 ComboFix.txt 16.01.2007 11:23 1.610.612.736 pagefile.sys 15.01.2007 12:09 397 boot.ini 08.01.2007 19:23 282 TO_InstallLog.txt 04.01.2007 20:30 18.613 hpfr3420.log 04.01.2007 20:29 520 hpfr3420.xml 03.01.2007 22:11 9.728 Thumbs.db 01.01.2007 21:39 4 scrabble.acc 25.11.2006 21:41 305 log.txt 25.11.2006 14:10 140.771 AnalysisLog.sr0 12.09.2006 20:00 0 AUTOEXEC.BAT 12.09.2006 20:00 0 IO.SYS 12.09.2006 20:00 0 CONFIG.SYS 12.09.2006 20:00 0 MSDOS.SYS 04.09.2001 18:35 224.032 ntldr 04.09.2001 18:35 45.124 NTDETECT.COM 04.09.2001 18:34 4.952 bootfont.bin 23 Datei(en) 1.611.173.323 Bytes 0 Verzeichnis(se), 131.481.915.392 Bytes frei das sind jetzt alle __________ Mit lieben Grüßen euer Mario |
|
![]() ![]() |
|
|
16.01.2007, 11:48
Ehrenmitglied
![]() Beiträge: 29434 |
#8
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne und poste den scanreport http://virus-protect.org/cureit.html dann kuemmern wir uns um die registry ![]() __________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 12:00
Member
Themenstarter Beiträge: 107 |
#9
Das hat jetzt der avenger ausgespuckt nach einem automatischen neustart
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\acdfvvoa ******************* Script file located at: \??\C:\Program Files\kuwonmxp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log Status: 0xc0000034 File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\lnames.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\lnames.txt deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\fnames.txt deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\fnames.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\domains.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\domains.txt deleted successfully. File C:\WINDOWS\system\smss.exe not found! Deletion of file C:\WINDOWS\system\smss.exe failed! Could not process line: C:\WINDOWS\system\smss.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\autorun.inf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\setup.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\hdd.z.exe.conf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\69exhdd.z.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\ssd32.a3.exe.conf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\8exssd32.a3.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\6exmodul32g.3.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\modul32g.3.exe.conf deleted successfully. Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. den anderen teil schicke ich gleich moment bitte... bitte haben Sie geduld ![]() __________ Mit lieben Grüßen euer Mario |
|
![]() ![]() |
|
|
16.01.2007, 12:06
Ehrenmitglied
![]() Beiträge: 29434 |
#10
nach dem scan mit dr.web, poste folgendes log
http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 12:43
Member
Themenstarter Beiträge: 107 |
#11
Zitat Sabina postetehabe ich gemacht kam dabei raus kein virus gefunden Habe jetzt den stuff ausgeführt hierbei kam folgendes raus [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 @="" __________ Mit lieben Grüßen euer Mario |
|
![]() ![]() |
|
|
16.01.2007, 13:00
Ehrenmitglied
![]() Beiträge: 29434 |
#12
die registry ist in Ordnung, scanne also mit dr.web und poste den report
__________ MfG Sabina rund um die PC-Sicherheit |
|
![]() ![]() |
|
|
16.01.2007, 13:11
Member
Themenstarter Beiträge: 107 |
||
![]() ![]() |
|
|
16.01.2007, 13:14
Ehrenmitglied
![]() Beiträge: 29434 |
||
![]() ![]() |
|
|
16.01.2007, 13:16
Member
Themenstarter Beiträge: 107 |
#15
Ich möchte mal an dieser Stelle eine Danksagung aussprechen....
Ein riesiges Dankeschön an Sabina ![]() ![]() ![]() ![]() ![]() ![]() was für ein Virus programm oder besser gesagt was für ein Internet security programm würdest du empfehlen? Wie hat sich der virus eingeschlichen? __________ Mit lieben Grüßen euer Mario Dieser Beitrag wurde am 16.01.2007 um 13:21 Uhr von Mario Jäger editiert.
|
|
![]() ![]() |
|
|
Seit vorgestern habe ich ein 2 zahlen modul.exe auf dem PC der Kasper hat erkannt das das ein virus ist aber wegbekommen tut er ihn nicht warum auch immer..
Seit heute geht auch ein MS-DOS fenster auf das sich so ähnlich wie 16-bit windows teilsystem nennt...
Das zeigt der kasper an
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\47exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\70exssd32.a3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\21exmodul32g.3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\71exmodul32g.3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\58exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\65exssd32.a3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\28exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\21exssd32.a3.exe
Wer kann mir bitte helfen...
Mfg
Mario
__________
Mit lieben Grüßen euer Mario