Der Wurm ist drin |
||
---|---|---|
#0
| ||
13.02.2007, 18:28
Ehrenmitglied
Beiträge: 29434 |
||
|
||
13.02.2007, 20:44
Member
Themenstarter Beiträge: 262 |
#32
Verzeichnis von C:\Windows\tasks
10.07.2002 20:15 <DIR> . 10.07.2002 20:15 <DIR> .. 12.02.2007 13:49 412 Symantec NetDetect.job 11.02.2007 20:55 398 FRU Task #Hewlett-Packard#hp psc 2200 series#1074196461.job 2 Datei(en) 810 Bytes 2 Verzeichnis(se), 63.065.112.576 Bytes frei C:\Dokumente und Einstellungen\Suzan Shalabi\Startmenü\Programme\Autostart" C:\Dokumente und Einstellungen\Suzan Shalabi\Startmenü\Programme" Das ist der untere Teil vom Gesamttext Gruss |
|
|
||
13.02.2007, 23:38
Ehrenmitglied
Beiträge: 29434 |
#33
im Normalmodus
RunThis.bat doppelt klicken http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip reinschreiben: 1 1 : es wird a-squared geladen a-squared 1. update 2. full scan 3. full scan (heuristic/riskware scanning enabled) - scanne 4. save quarantine list poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 12:08
Member
Themenstarter Beiträge: 262 |
#34
Logfile of HijackThis v1.99.1
Scan saved at 12:08:11, on 14.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\Programme\internet explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\HijackThis.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe |
|
|
||
14.02.2007, 12:10
Ehrenmitglied
Beiträge: 29434 |
#35
RunThis.bat doppelt klicken
http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip reinschreiben: 1 1 : es wird a-squared geladen a-squared 1. update 2. full scan 3. full scan (heuristic/riskware scanning enabled) - scanne 4. save quarantine list poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 12:32
Member
Themenstarter Beiträge: 262 |
#36
SDFix: Version 1.65
Run by: Administrator - 14.02.2007 @ 12:24:29,73 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Kazaa\\kazaa.exe"="C:\\Programme\\Kazaa\\kazaa.exe:*:Enabled:Kazaa" "C:\\Programme\\eMule.co.il\\eMule.exe"="C:\\Programme\\eMule.co.il\\eMule.exe:*:Enabled:eMule" "C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule" "C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\Eigene Dateien\perlen.com\Thumbs.db C:\WINDOWS\system32\McIDENT.DLL C:\WINDOWS\system32\SpDOCVW.DLL C:\WINDOWS\system32\UhLMON.DLL C:\WINDOWS\system32\SvLWAPI.DLL C:\NEUWIN\LastGood.Tmp\INF\oem11.inf C:\NEUWIN\LastGood.Tmp\INF\oem11.PNF C:\NEUWIN\LastGood.Tmp\INF\dureg.inf C:\NEUWIN\LastGood.Tmp\INF\dureg.PNF C:\Dokumente und Einstellungen\Owner\Eigene Dateien\suzan\~WRL1710.tmp C:\Dokumente und Einstellungen\Owner.ORGANISA-711200\Lokale Einstellungen\Temp\ZTR41.tmp C:\Dokumente und Einstellungen\Suzan Shalabi\Anwendungsdaten\Roxio\Dragon\DiscInfoCache\TOSHIBA__DVD-ROM_SD-M1612_1004_300_DICV018_DRGV20100BC.TMP C:\Dokumente und Einstellungen\Suzan Shalabi\Eigene Dateien\suzan\~WRL0503.tmp C:\~QTWTMP.TMP\QTINSTAL.GID Finished Das ist erstmal - im Abgesicherten Modus |
|
|
||
14.02.2007, 13:28
Ehrenmitglied
Beiträge: 29434 |
#37
0.
L2mfix - Option 2 anwenden - poste nach neustart den scanreport http://virus-protect.org/l2mfix.html 1. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:2. IM NORMALMODUS - (kein abges.Modus...........) RunThis.bat doppelt klicken http://virus-protect.org/artikel/tools/sdfix.html reinschreiben: 1 1 : es wird a-squared geladen a-squared 1. update 2. full scan 3. full scan (heuristic/riskware scanning enabled) - scanne 4. save quarantine list poste den scanreport __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 13:42
Member
Themenstarter Beiträge: 262 |
#38
Im normalen Modus
3. full scan (heuristic/riskware scanning enabled) - scanne --------- Logfile of HijackThis v1.99.1 Scan saved at 13:41:51, on 14.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\internet explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Suzan Shalabi\Desktop\HijackThis.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe |
|
|
||
14.02.2007, 13:56
Ehrenmitglied
Beiträge: 29434 |
#39
warum postest du staendig das log vom HijackThis ???
bitte fuehre aus, was ich schreibe. (siehe oben) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 15:15
Member
Themenstarter Beiträge: 262 |
#40
Hallo
Ich weiss, ich versuche ja, aber das problem ist, er scannt lange Zeit und wenn er fertig ist wird das schwarze Dos Fenster einfach geschlossen. Somit kann ich keinen Bericht kopieren und senden. Wo finde ich den Scan Report ? |
|
|
||
14.02.2007, 17:13
Ehrenmitglied
Beiträge: 29434 |
#41
alos noch mal von vorn - in Scheibchen
L2mfix - Option 2 anwenden - poste nach neustart den scanreport http://virus-protect.org/l2mfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 17:37
Member
Themenstarter Beiträge: 262 |
#42
Hallo Sabina
Nun bin ich wieder am Rechner und habe Zeit. Ganz in Ruhe ! Ich habe l2mfix laufen lassen L2MFIX find log 051206 These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "sv1"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverknpfung" "{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices" "{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu" "{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow" "{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: Locate .tmp files: ********************************************************************************** Directory Listing of system files: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2765-140C Verzeichnis von C:\WINDOWS\System32 30.06.2004 16:15 316.776 UhLMON.DLL 30.06.2004 16:15 316.776 McIDENT.DLL 30.06.2004 16:15 316.776 SpDOCVW.DLL 30.06.2004 16:15 316.776 SvLWAPI.DLL 11.07.2002 17:52 <DIR> Microsoft 10.07.2002 20:00 <DIR> dllcache 4 Datei(en) 1.267.104 Bytes 2 Verzeichnis(se), 65.510.244.352 Bytes frei Bitte schön Wir schaffen das schon Gruss |
|
|
||
14.02.2007, 17:40
Ehrenmitglied
Beiträge: 29434 |
#43
das war option 1 ? wende bitte nach anleitung option 2 an und poste nach neustart den report
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2007, 17:52
Member
Themenstarter Beiträge: 262 |
#44
Ich gebe die Zahl 2 ein dann öffnet sich ein Fenster:
C:\Windows\System32\cmd.exe C:\Programm...1\Synamtec\S32EVNT1.dll Die Initialisierung der DLL für ein instalierbarenvirtellen Gerätetreiber ist fehlgeschlagen klicke auf schliessen Ich drücke auf schliessen Ge4bensie ein Kennwort für l2mfix ein |
|
|
||
14.02.2007, 17:54
Member
Themenstarter Beiträge: 262 |
||
|
||
__________
MfG Sabina
rund um die PC-Sicherheit