Habe einen Virus und bekomme ihn nicht mehr weg !!!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
16.01.2007, 11:11
Member
Beiträge: 107 |
||
|
||
16.01.2007, 11:15
Ehrenmitglied
Beiträge: 29434 |
#2
Mario Jäger
1. Erstellen eines Hijackthis-Logfiles http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner ---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" --------------------------------------------------------------- 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 11:18
Member
Themenstarter Beiträge: 107 |
#3
Hier der erste teil von dem Hijackthis
Logfile of HijackThis v1.99.1 Scan saved at 11:18:01, on 16.01.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Mario Jäger\Eigene Dateien\gedownloadet sicherheit\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165768694733 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168088509076 O20 - AppInit_DLLs: "c:\progra~1\kasper~1\kasper~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe __________ Mit lieben Grüßen euer Mario |
|
|
||
16.01.2007, 11:20
Ehrenmitglied
Beiträge: 29434 |
#4
2.
Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 11:29
Member
Themenstarter Beiträge: 107 |
#5
Bin ja nicht mal mit der ersten deiner anweisung fertig geworden :-)
hier der teil von combofix ComboFix 07-01-15 - Running from: "C:\Dokumente und Einstellungen\Mario J„ger\Eigene Dateien\gedownloadet sicherheit\hijackthis" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\INSTALL.LOG C:\WINDOWS\System\smss.exe ((((((((((((((((((((((((((((((( Files Created from 2006-12-16 to 2007-01-16 )))))))))))))))))))))))))))))))))) 2007-01-15 21:11 <DIR> d----c--- C:\Programme\CCleaner 2007-01-15 15:18 <DIR> d----c--- C:\Programme\Kaspersky Lab 2007-01-15 15:18 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Kaspersky Lab 2007-01-15 15:11 <DIR> d----c--- C:\kav 2007-01-15 14:50 <DIR> d----c--- C:\WINDOWS\system32\Kaspersky Lab 2007-01-14 22:06 <DIR> d----c--- C:\DOKUME~1\ADMINI~1\Anwendungsdaten\TuneUp Software 2007-01-14 21:47 <DIR> d--h-c--- C:\WINDOWS\system32\GroupPolicy 2007-01-14 19:21 <DIR> d----c--- C:\Programme\TopWare 2007-01-12 21:54 40,960 --a--c--- C:\WINDOWS\system32\SSubTmr6.dll 2007-01-12 21:54 118,784 --a--c--- C:\WINDOWS\system32\vbalNCSM6.dll 2007-01-12 21:54 101,888 --a--c--- C:\WINDOWS\system32\Vb6stkit.dll 2007-01-11 20:06 921,600 --a--c--- C:\WINDOWS\system32\vorbisenc.dll 2007-01-11 20:06 45,056 --a--c--- C:\WINDOWS\system32\ogg.dll 2007-01-11 20:06 237,568 --a--c--- C:\WINDOWS\system32\OggDS.dll 2007-01-11 20:06 188,416 --a--c--- C:\WINDOWS\system32\vorbis.dll 2007-01-11 20:05 258,352 --a--c--- C:\WINDOWS\system32\unicows.dll 2007-01-10 14:03 <DIR> d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\Talkback 2007-01-10 14:02 <DIR> d----c--- C:\Programme\Mozilla Firefox 2007-01-10 13:22 59 --ah-c--- C:\WINDOWS\system32\SWCTL.DLL 2007-01-10 13:22 <DIR> d----c--- C:\WINDOWS\system32\tmr 2007-01-10 13:22 <DIR> d----c--- C:\WINDOWS\system32\bin 2007-01-10 13:22 <DIR> d----c--- C:\Programme\Chico 2007-01-08 19:25 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Nero 2007-01-08 19:23 <DIR> d----c--- C:\Programme\T-Online 2007-01-08 19:23 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\T-Online 2007-01-08 18:04 98,816 --a--c--- C:\WINDOWS\system32\Dec130.dll 2007-01-08 18:04 96,768 --a--c--- C:\WINDOWS\system32\Winsdec.dll 2007-01-08 18:04 80,896 --a--c--- C:\WINDOWS\system32\Winstr.dll 2007-01-08 18:04 60,416 --a--c--- C:\WINDOWS\system32\Winplay.dll 2007-01-08 18:04 117,248 --a--c--- C:\WINDOWS\system32\Edec.dll 2007-01-08 18:02 305,664 --a--c--- C:\WINDOWS\IsUn0407.exe 2007-01-06 14:28 <DIR> d--h-c--- C:\WINDOWS\msdownld.tmp 2007-01-06 14:27 <DIR> d----c--- C:\WINDOWS\Windows Update Setup-Dateien 2007-01-06 14:26 <DIR> d----c--- C:\WINDOWS\Verlauf 2007-01-01 19:11 86,016 --a--c--- C:\WINDOWS\unvise32.exe 2006-12-26 17:16 89,360 --a--c--- C:\WINDOWS\system32\VB5DB.DLL 2006-12-26 17:16 69,632 --a--c--- C:\WINDOWS\system32\xmltok.dll 2006-12-26 17:16 36,864 --a--c--- C:\WINDOWS\system32\xmlparse.dll 2006-12-26 17:16 26,088 --a--c--- C:\WINDOWS\system32\xmlinst.exe 2006-12-26 17:16 24,576 --a--c--- C:\WINDOWS\system32\msxml3a.dll 2006-12-26 17:16 <DIR> d----c--- C:\Programme\Ubi Soft 2006-12-25 14:02 <DIR> d----c--- C:\WINDOWS\17BB7031B6D94D27A3A1B0E672A0972C.TMP 2006-12-23 10:44 24,072 --a--c--- C:\WINDOWS\system32\uxtuneup.dll 2006-12-23 10:44 <DIR> d----c--- C:\Programme\TuneUp Utilities 2007 2006-12-23 10:44 <DIR> d----c--- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-12-22 19:12 <DIR> d----c--- C:\WINDOWS\system32\FlashPlayer 2006-12-17 20:04 <DIR> d----c--- C:\Temp (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-15 15:17 -------- d----c--- C:\Programme\Gemeinsame Dateien\symantec shared 2007-01-15 15:15 -------- d----c--- C:\Programme\symantec 2007-01-15 14:09 -------- d----c--- C:\Programme\icqtoolbar 2007-01-15 14:08 -------- d----c--- C:\Programme\trillian 2007-01-15 12:57 -------- d---sc--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\microsoft 2007-01-11 20:16 11973 --a--c--- C:\WINDOWS\system32\drivers\secdrv.sys 2007-01-11 19:59 -------- d--h-c--- C:\Programme\installshield installation information 2007-01-10 14:02 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\mozilla 2007-01-08 19:23 -------- d----c--- C:\Programme\Gemeinsame Dateien\installshield 2007-01-06 14:30 -------- d----c--- C:\Programme\Gemeinsame Dateien\dienste 2007-01-03 22:12 53248 --ahsc--- C:\Programme\thumbs.db 2006-12-31 13:26 2116992 --a--c--- C:\WINDOWS\system32\tukernel.exe 2006-12-25 14:02 -------- d----c--- C:\Programme\norton antivirus 2006-12-16 21:45 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icq toolbar 2006-12-15 19:20 -------- d----c--- C:\Programme\icqlite 2006-12-15 19:20 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icqlite 2006-12-15 18:45 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\icq 2006-12-10 17:47 -------- d--h-c--- C:\Programme\windowsupdate 2006-12-09 15:00 -------- d----c--- C:\Programme\msworks 2006-12-04 22:04 -------- d----c--- C:\Programme\3d drunken clock 2006-12-02 13:53 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\tuneup software 2006-12-01 20:44 606848 --a--c--- C:\WINDOWS\flashax.exe 2006-12-01 20:44 12288 --a--c--- C:\WINDOWS\impborl.dll 2006-11-25 18:23 43520 --a--c--- C:\WINDOWS\system32\cmdlineext03.dll 2006-11-20 22:29 -------- d----c--- C:\Programme\rondomedia 2006-11-20 22:05 -------- d----c--- C:\Programme\virtual cd v8 2006-11-17 10:26 -------- d----c--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\help 2006-11-13 17:28 118784 -r---c--- C:\WINDOWS\bwunin-7.2.0.157-8876480sl.exe 2006-11-11 15:06 85 ---hsc--- C:\DOKUME~1\MARIOJ~1\Anwendungsdaten\.zreglib 2006-11-01 17:42 94314 --a--c--- C:\WINDOWS\system32\klogon.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "NeroFilterCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" "AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\"" @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk" "backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start" "item"="Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ccApp" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LogitechDesktopMessenger" "hkey"="HKCU" "command"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="UsrPrmpt" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="UrlLstCk" "hkey"="HKLM" "command"="C:\\Programme\\Norton Internet Security\\UrlLstCk.exe" "inimapping"="0" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableClock"=dword:00000000 "NoDispCPL"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSetFolders"=dword:00000000 "NoSetTaskbar"=dword:00000000 "NoSaveSettings"=dword:00000000 "NoRun"=dword:00000000 "NoFind"=dword:00000000 "LWA"=dword:00000000 "LWB"=dword:00000000 "LWC"=dword:00000000 "LWD"=dword:00000000 "LWE"=dword:00000000 "LWF"=dword:00000000 "LWG"=dword:00000000 "LWH"=dword:00000000 "LWI"=dword:00000000 "LWJ"=dword:00000000 "LWK"=dword:00000000 "LWL"=dword:00000000 "LWM"=dword:00000000 "LWN"=dword:00000000 "LWO"=dword:00000000 "LWP"=dword:00000000 "LWQ"=dword:00000000 "LWR"=dword:00000000 "LWS"=dword:00000000 "LWT"=dword:00000000 "LWU"=dword:00000000 "LWV"=dword:00000000 "LWW"=dword:00000000 "LWX"=dword:00000000 "LWY"=dword:00000000 "LWZ"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] Source REG_SZ C:\Dokumente und Einstellungen\Mario Jäger\Eigene Dateien\Sicherheit\Melanie Schwank\Melanie geändert.jpg [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 tapisrv REG_MULTI_SZ Tapisrv\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* UxTuneUp Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1158090649.job Completion time: 07-01-16 11:27:42 __________ Mit lieben Grüßen euer Mario |
|
|
||
16.01.2007, 11:33
Ehrenmitglied
Beiträge: 29434 |
#6
4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren) Exakte Anleitung unter: http://virus-protect.org/datfindbat.html Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 11:42
Member
Themenstarter Beiträge: 107 |
#7
Datentr„ger in Laufwerk C: ist Arbeitsplatte
Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\system32 16.01.2007 11:23 63.804 nvapps.xml 14.01.2007 20:46 196.960 FNTCACHE.DAT 10.01.2007 13:59 59 SWCTL.DLL 08.01.2007 19:23 93 NULL 02.01.2007 14:09 2.184 wpa.dbl 31.12.2006 13:26 2.116.992 TUKernel.exe 10.12.2006 17:43 311.604 perfh009.dat 10.12.2006 17:43 39.992 perfc009.dat 10.12.2006 17:43 316.594 perfh007.dat 10.12.2006 17:43 48.156 perfc007.dat 10.12.2006 17:43 723.744 PerfStringBackup.INI 25.11.2006 18:23 43.520 CmdLineExt03.dll 23.11.2006 16:45 24.072 uxtuneup.dll 15.11.2006 21:20 10.474.920 MRT.exe 01.11.2006 17:42 94.314 klogon.dll 17.10.2006 21:06 3.200 qtplugin.log 30.09.2006 16:41 16.832 amcompat.tlb 30.09.2006 16:41 23.392 nscompat.tlb 21.09.2006 20:55 552 d3d8caps.dat 12.09.2006 20:37 0 h323log.txt 12.09.2006 20:25 25.065 wmpscheme.xml 12.09.2006 20:02 261 $winnt$.inf 12.09.2006 20:00 2.951 CONFIG.NT 12.09.2006 19:59 488 WindowsLogon.manifest 12.09.2006 19:59 488 logonui.exe.manifest 12.09.2006 19:59 749 nwc.cpl.manifest 12.09.2006 19:59 749 sapi.cpl.manifest 12.09.2006 19:59 749 cdplayer.exe.manifest 12.09.2006 19:59 749 wuaucpl.cpl.manifest 12.09.2006 19:59 749 ncpa.cpl.manifest 12.09.2006 19:58 21.740 emptyregdb.dat Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\DOKUME~1\MARIOJ~1\LOKALE~1\Temp 16.01.2007 11:37 85.470 lnames.txt.cab 16.01.2007 11:37 187.993 lnames.txt 16.01.2007 11:37 88.071 fnames.txt 16.01.2007 11:37 28.894 fnames.txt.cab 16.01.2007 11:34 126.354 domains.txt.cab 16.01.2007 11:34 368.243 domains.txt 16.01.2007 11:34 43 autorun.inf 16.01.2007 11:34 49.152 setup.exe 16.01.2007 11:34 48 hdd.z.exe.conf 16.01.2007 11:34 25.600 69exhdd.z.exe 16.01.2007 11:34 50 ssd32.a3.exe.conf 16.01.2007 11:34 23.552 8exssd32.a3.exe 16.01.2007 11:34 48.128 6exmodul32g.3.exe 16.01.2007 11:34 52 modul32g.3.exe.conf 14 Datei(en) 1.031.650 Bytes 0 Verzeichnis(se), 131.482.312.704 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS 16.01.2007 11:23 0 0.log 16.01.2007 11:23 159 wiadebug.log 16.01.2007 11:23 50 wiaservc.log 16.01.2007 11:23 2.048 bootstat.dat 16.01.2007 11:22 32.562 SchedLgU.Txt 15.01.2007 20:25 69 NeroDigital.ini 15.01.2007 12:09 227 system.ini 15.01.2007 12:09 1.612 win.ini 10.01.2007 14:13 1.152 mozver.dat 10.01.2007 14:02 0 nsreg.dat 08.01.2007 18:10 934 disney.ini 22.12.2006 13:11 1.740 wizards.ini 01.12.2006 20:44 606.848 flashax.exe 01.12.2006 20:44 12.288 impborl.dll 13.11.2006 17:28 118.784 bwUnin-7.2.0.157-8876480SL.exe 30.09.2006 16:40 316.640 WMSysPr9.prx 12.09.2006 21:06 81.920 bwUnin-6.1.4.68-8876480L.exe 12.09.2006 21:03 400 ODBC.INI 12.09.2006 20:50 20.454 hpoins01.dat 12.09.2006 20:22 0 Sti_Trace.log 12.09.2006 20:03 8.192 REGLOCS.OLD 12.09.2006 20:00 0 control.ini 12.09.2006 20:00 299.552 WMSysPrx.prx 12.09.2006 20:00 4.161 ODBCINST.INI 12.09.2006 19:59 749 WindowsShell.Manifest 12.09.2006 19:58 37 vbaddin.ini 12.09.2006 19:58 36 vb.ini Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\Temp <<<< steht nicht mehr dabei :-/ Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\WINDOWS\Downloaded Program Files 06.01.2007 14:30 65 desktop.ini 08.08.2006 11:45 576 kavwebscan.inf 22.06.2006 10:41 5.032 swflash.inf 26.05.2005 04:19 293 muweb.inf 26.05.2005 04:19 291 wuweb.inf 20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd 6 Datei(en) 7.419 Bytes 0 Verzeichnis(se), 131.481.980.928 Bytes frei Datentr„ger in Laufwerk C: ist Arbeitsplatte Volumeseriennummer: FC41-F357 Verzeichnis von C:\ 16.01.2007 11:42 0 sys.txt 16.01.2007 11:41 563 down.txt 16.01.2007 11:41 117 tmp.txt 16.01.2007 11:41 3.677 system.txt 16.01.2007 11:40 968 systemtemp.txt 16.01.2007 11:40 99.222 system32.txt 16.01.2007 11:27 11.312 ComboFix.txt 16.01.2007 11:23 1.610.612.736 pagefile.sys 15.01.2007 12:09 397 boot.ini 08.01.2007 19:23 282 TO_InstallLog.txt 04.01.2007 20:30 18.613 hpfr3420.log 04.01.2007 20:29 520 hpfr3420.xml 03.01.2007 22:11 9.728 Thumbs.db 01.01.2007 21:39 4 scrabble.acc 25.11.2006 21:41 305 log.txt 25.11.2006 14:10 140.771 AnalysisLog.sr0 12.09.2006 20:00 0 AUTOEXEC.BAT 12.09.2006 20:00 0 IO.SYS 12.09.2006 20:00 0 CONFIG.SYS 12.09.2006 20:00 0 MSDOS.SYS 04.09.2001 18:35 224.032 ntldr 04.09.2001 18:35 45.124 NTDETECT.COM 04.09.2001 18:34 4.952 bootfont.bin 23 Datei(en) 1.611.173.323 Bytes 0 Verzeichnis(se), 131.481.915.392 Bytes frei das sind jetzt alle __________ Mit lieben Grüßen euer Mario |
|
|
||
16.01.2007, 11:48
Ehrenmitglied
Beiträge: 29434 |
#8
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne und poste den scanreport http://virus-protect.org/cureit.html dann kuemmern wir uns um die registry __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 12:00
Member
Themenstarter Beiträge: 107 |
#9
Das hat jetzt der avenger ausgespuckt nach einem automatischen neustart
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\acdfvvoa ******************* Script file located at: \??\C:\Program Files\kuwonmxp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log Status: 0xc0000034 File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\lnames.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\lnames.txt deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\fnames.txt deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\fnames.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\domains.txt.cab deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\domains.txt deleted successfully. File C:\WINDOWS\system\smss.exe not found! Deletion of file C:\WINDOWS\system\smss.exe failed! Could not process line: C:\WINDOWS\system\smss.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\autorun.inf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\setup.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\hdd.z.exe.conf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\69exhdd.z.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\ssd32.a3.exe.conf deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\8exssd32.a3.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\6exmodul32g.3.exe deleted successfully. File C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\modul32g.3.exe.conf deleted successfully. Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. den anderen teil schicke ich gleich moment bitte... bitte haben Sie geduld __________ Mit lieben Grüßen euer Mario |
|
|
||
16.01.2007, 12:06
Ehrenmitglied
Beiträge: 29434 |
#10
nach dem scan mit dr.web, poste folgendes log
http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 12:43
Member
Themenstarter Beiträge: 107 |
#11
Zitat Sabina postetehabe ich gemacht kam dabei raus kein virus gefunden Habe jetzt den stuff ausgeführt hierbei kam folgendes raus [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 @="" __________ Mit lieben Grüßen euer Mario |
|
|
||
16.01.2007, 13:00
Ehrenmitglied
Beiträge: 29434 |
#12
die registry ist in Ordnung, scanne also mit dr.web und poste den report
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2007, 13:11
Member
Themenstarter Beiträge: 107 |
||
|
||
16.01.2007, 13:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
16.01.2007, 13:16
Member
Themenstarter Beiträge: 107 |
#15
Ich möchte mal an dieser Stelle eine Danksagung aussprechen....
Ein riesiges Dankeschön an Sabina was für ein Virus programm oder besser gesagt was für ein Internet security programm würdest du empfehlen? Wie hat sich der virus eingeschlichen? __________ Mit lieben Grüßen euer Mario Dieser Beitrag wurde am 16.01.2007 um 13:21 Uhr von Mario Jäger editiert.
|
|
|
||
Seit vorgestern habe ich ein 2 zahlen modul.exe auf dem PC der Kasper hat erkannt das das ein virus ist aber wegbekommen tut er ihn nicht warum auch immer..
Seit heute geht auch ein MS-DOS fenster auf das sich so ähnlich wie 16-bit windows teilsystem nennt...
Das zeigt der kasper an
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\47exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\70exssd32.a3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\21exmodul32g.3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\71exmodul32g.3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\58exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\65exssd32.a3.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\28exhdd.z.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\Mario Jäger\Lokale Einstellungen\Temp\21exssd32.a3.exe
Wer kann mir bitte helfen...
Mfg
Mario
__________
Mit lieben Grüßen euer Mario