PC streikt, Internet funktioniert nicht richtig |
||
---|---|---|
#0
| ||
15.02.2007, 13:25
Member
Beiträge: 18 |
||
|
||
15.02.2007, 14:18
Ehrenmitglied
Beiträge: 29434 |
#2
susiee85
die startseite ist in der tat eigenartig: Start Page = http://w*w.ebay.de/ - das gibt es nicht , siehe w*w --------------------------------------------------------------------- 1. deaktiviere: SpybotSD TeaTimer 2. SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag ----------- 3. neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein - http://www.ebay.de/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2007, 17:18
Member
Themenstarter Beiträge: 18 |
#3
Also erstmal vielen vielen Dank fuer die Antwort! Habe alles gemacht und das Ergebnis ist Folgendes:
SDFix: Version 1.65 Run by: Susan - 15.02.2007 @ 16:00:53,37 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found.. ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting" "C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome" "C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:enabled:InterVideo WinDVD 7" "C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"="C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe:*:enabled:InterVideo MediaOne Gallery" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" "C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*isabled:RealPlayer" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:skype" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteunterstützung" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0" "C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)" "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)" "C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:enabled:skype" "C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner" "C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor" "C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server" "C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting" "C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome" "C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:enabled:InterVideo WinDVD 7" "C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"="C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe:*:enabled:InterVideo MediaOne Gallery" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Programme\AOL 9.0\aolphx.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\AOL 9.0\RBM.exe C:\Programme\AOL 9.0\StartSM.exe C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe C:\WINDOWS\system32\2246DFD473.sys C:\WINDOWS\system32\4212FAB396.sys C:\WINDOWS\system32\KGyGaAvL.sys Finished Hm, heisst das, dass nichts gefunden wurde? |
|
|
||
15.02.2007, 18:13
Ehrenmitglied
Beiträge: 29434 |
#4
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein - http://www.ebay.de/ dann poste das neue log vom HIjacktHis + poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2007, 21:06
Member
Themenstarter Beiträge: 18 |
#5
hi nochmal!
sorry wegen der startseite, habs beim letzten mal verrafft! das problem bei dem anderem log ist, dass wenn ich das programm herunterlade folgende meldung kommt: "the tool combofix has been temporarily withdrawn. the author discovered a rootkit infection that will interfere with combofix's running. this will cause combofix to be UNSAFE FOR USE on your machine. even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL." ich hoffe es liegt nicht daran dass ich irgendwas falsch gemacht hab! naja, den anderen HJT hab ich jedenfalls: Logfile of HijackThis v1.99.1 Scan saved at 18:26:32, on 15.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wbsecsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\PROGRA~1\PESTPA~1\PPMemCheck.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\winbond\w89c33\wwu.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Susan\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe danke nochmal/schonmal! |
|
|
||
15.02.2007, 23:45
Ehrenmitglied
Beiträge: 29434 |
#6
die startseite ist schon mal i.o.
keine Ahung, was mit der combofix los ist, klicke sie einfach an (dieses weisse kreuz auf rotem Grund) und berichte, was passiert. falls es nicht klappt, ich habe eine aeltere Version als zip hochgeladen - versuche es damit http://virus-protect.org/artikel/tools/combofix.html «« scanne und poste den report RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 02:51
Member
Themenstarter Beiträge: 18 |
#7
Ok, folgende Probleme sind aufgetreten:
Combofix geht immer noch nicht. Es kommt die gleiche Meldung, ich kann also nichts anklicken, weil ich das Programm nicht herunterladen kann. Die Seite der aelteren Version kann ich nicht laden. Der RootkitRevealer hat mir am Ende angezeigt: "35 discrepancies found". Hab aber seltsamerweise keinen report bekommen. Er hat mir die 35 Probleme angezeigt, aber konnte nichts kopieren oder aehnliches. Kanns aber gerne morgen nochmal versuchen. Achja, ist das normal das der Scan anderthalb Stunden dauert? Beim CleanUp kann ich das Programm nicht oeffnen, wegen "incorrect size...". Das letzte Programm geht ebenfalls nicht, wenn ich es herunterladen will erscheint: "Seite kann nicht angezeigt werden...". Liegt hoechstwahrscheinlich an meinem PC! Sorry, dass ich fuer heute nicht mit mehr dienen kann, aber ich werde morgen alles nochmal versuchen, wenn erwuenscht! Danke & Gute Nacht! |
|
|
||
16.02.2007, 10:12
Ehrenmitglied
Beiträge: 29434 |
#8
««
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\2246DFD473.sys C:\WINDOWS\system32\4212FAB396.sys C:\WINDOWS\system32\wbsecsvc.exe poste die reporte hier ------------------------------------------------------ 1. versuche es von hier http://virus-protect.org/zip/combofix.zip 2. Cleanup http://www.stevengould.org/downloads/cleanup/CleanUp452.exe 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html datFind.zip --> entzippe datFind.zip --> datFind.bat http://virus-protect.org/zip/datFind.zip Kurzanleitung datfindbat 1. Doppel-klick DATFINDBAT 2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 3. auf das Command Fenster klicken und beliebige Taste drücken 4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig) 6. Wiederhole Schritt 3 und speichere als temp.txt 7. Wiederhole Schritt 3 und speichere als down.txt 8. Wiederhole Schritt 3 und speichere als c.txt 9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 14:55
Member
Themenstarter Beiträge: 18 |
#9
Danke, Combofix hat jetzt funktioniert:
Susan - 07-02-16 10:30:21,32 Service Pack 2 ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Susan" ((((((((((((((((((((((((((((((( Files Created from 2007-01-16 to 2007-02-16 )))))))))))))))))))))))))))))))))) 2007-02-13 15:09 57,344 --a------ C:\WINDOWS\system32\avsda.dll 2007-02-13 15:09 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2007-02-13 15:09 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-15 18:22 -------- d-------- C:\Programme\PestPatrol 2007-02-15 03:43 -------- d-------- C:\Programme\Google 2007-02-14 15:01 -------- d-------- C:\Programme\ICQLite 2007-02-13 15:09 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2007-02-13 15:02 -------- d---s---- C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\Microsoft 2007-01-19 16:23 -------- d-------- C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\Viewpoint 2006-12-17 09:27 -------- d-------- C:\Programme\Windows Media Player 2006-12-17 09:27 -------- d-------- C:\Programme\Internet Explorer 2006-12-17 09:26 -------- d-------- C:\Programme\Outlook Express 2006-12-14 15:13 1864 --a------ C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\wklnhst.dat 2006-12-07 05:14 2330624 --a------ C:\WINDOWS\system32\wmvcore.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1" "swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe" "ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\"" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "AGRSMMSG"="AGRSMMSG.exe" "AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe" "Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s" "PestPatrol Control Center"="C-\\PROGRA~1\\PESTPA~1\\PPControl.exe" "PPMemCheck"="C:\\PROGRA~1\\PESTPA~1\\PPMemCheck.exe" "CookiePatrol"="C:\\PROGRA~1\\PESTPA~1\\CookiePatrol.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "SoundMan"="SOUNDMAN.EXE" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000004 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\ 63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\ 6d,73,73,74,79,6c,65,73,00 "InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\ 73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TeaTimer" "hkey"="HKCU" "command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 07-02-16 10:36:39.65 C:\ComboFix.txt ... 07-02-16 10:36 Virustotal scannt komischerweise den letzten Pfad nicht. Hier die ersten zwei: STATUS: FINISHED Complete scanning result of "2246DFD473.sys", received in VirusTotal at 02.16.2007, 11:06:23 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.16.2007 no virus found Authentium 4.93.8 02.15.2007 no virus found Avast 4.7.936.0 02.16.2007 no virus found AVG 386 02.15.2007 no virus found BitDefender 7.2 02.16.2007 no virus found CAT-QuickHeal 9.00 02.15.2007 no virus found ClamAV devel-20060426 02.16.2007 no virus found DrWeb 4.33 02.16.2007 no virus found eSafe 7.0.14.0 02.15.2007 no virus found eTrust-Vet 30.4.3405 02.16.2007 no virus found Ewido 4.0 02.14.2007 no virus found Fortinet 2.85.0.0 02.16.2007 no virus found F-Prot 4.2.1.29 02.15.2007 no virus found F-Secure 6.70.13030.0 02.16.2007 no virus found Ikarus T3.1.0.31 02.16.2007 no virus found Kaspersky 4.0.2.24 02.16.2007 no virus found McAfee 4964 02.15.2007 no virus found Microsoft 1.2204 02.16.2007 no virus found NOD32v2 2064 02.15.2007 no virus found Norman 5.80.02 02.15.2007 no virus found Panda 9.0.0.4 02.15.2007 no virus found Prevx1 V2 02.16.2007 no virus found Sophos 4.14.0 02.16.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 no virus found Symantec 10 02.16.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.14.2007 no virus found VBA32 3.11.2 02.16.2007 no virus found VirusBuster 4.3.19:9 02.15.2007 no virus found Aditional Information File size: 56 bytes MD5: 51f3d1fcfbb398f1617bff042be61800 SHA1: f47e150aa4aafeb1fb4ba36b81b290451d5f238d STATUS: FINISHED Complete scanning result of "4212FAB396.sys", received in VirusTotal at 02.16.2007, 11:15:01 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.16.2007 no virus found Authentium 4.93.8 02.15.2007 no virus found Avast 4.7.936.0 02.16.2007 no virus found AVG 386 02.15.2007 no virus found BitDefender 7.2 02.16.2007 no virus found CAT-QuickHeal 9.00 02.15.2007 no virus found ClamAV devel-20060426 02.16.2007 no virus found DrWeb 4.33 02.16.2007 no virus found eSafe 7.0.14.0 02.15.2007 no virus found eTrust-Vet 30.4.3405 02.16.2007 no virus found Ewido 4.0 02.16.2007 no virus found Fortinet 2.85.0.0 02.16.2007 no virus found F-Prot 4.2.1.29 02.15.2007 no virus found F-Secure 6.70.13030.0 02.16.2007 no virus found Ikarus T3.1.0.31 02.16.2007 no virus found Kaspersky 4.0.2.24 02.16.2007 no virus found McAfee 4964 02.15.2007 no virus found Microsoft 1.2204 02.16.2007 no virus found NOD32v2 2064 02.15.2007 no virus found Norman 5.80.02 02.15.2007 no virus found Panda 9.0.0.4 02.15.2007 no virus found Prevx1 V2 02.16.2007 no virus found Sophos 4.14.0 02.16.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 no virus found Symantec 10 02.16.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.14.2007 no virus found VBA32 3.11.2 02.16.2007 no virus found VirusBuster 4.3.19:9 02.15.2007 no virus found Aditional Information File size: 8 bytes MD5: ba898b29f0dbf9307f494475a8393f03 SHA1: 697fd89eba4c1d12a53190666508b9aa503bf7e9 Der Cleanup geht immer noch nicht. Wenn ich auf Datei ausführen klicke kommt folgende Meldung: „Incorrect size C:/dokumente und einstellungen/susan/lokale einstellungen/temporary internet files/content.ie5/583opkaj/cleanup4521[1].exe.Actual size is 101841 bytes, but should be 339257 bytes. Download the setup again.“ Datfindbat: 1. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\WINDOWS\system32 16.02.2007 10:51 1.351 RootkitReveal.txt 15.02.2007 16:14 406.264 perfh009.dat 15.02.2007 16:14 64.814 perfc009.dat 15.02.2007 16:14 421.620 perfh007.dat 15.02.2007 16:14 77.856 perfc007.dat 15.02.2007 16:14 982.032 PerfStringBackup.INI 15.02.2007 16:10 1.158 wpa.dbl 03.01.2007 00:19 10.980.776 MRT.exe 07.12.2006 05:14 2.330.624 wmvcore.dll 08.11.2006 06:06 679.424 inetcomm.dll 2. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\DOKUME~1\Susan\LOKALE~1\Temp 16.02.2007 12:12 512 ~DFC771.tmp 16.02.2007 12:11 512 ~DF7CDC.tmp 16.02.2007 11:39 54.272 ginstall.dll 3 Datei(en) 55.296 Bytes 0 Verzeichnis(se), 50.183.634.944 Bytes frei 3. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\WINDOWS 16.02.2007 11:23 1.057.762 WindowsUpdate.log 15.02.2007 20:55 987.680 setupapi.log 15.02.2007 19:28 685 win.ini 15.02.2007 16:16 10.196 ModemLog_Creatix 2.0 AC'97 Modem.txt 15.02.2007 16:09 0 0.log 15.02.2007 16:07 2.048 bootstat.dat 15.02.2007 15:58 125.848 ntbtlog.txt 15.02.2007 15:53 32.626 SchedLgU.Txt 15.02.2007 15:36 227 system.ini 13.02.2007 18:03 42.933 wmsetup.log 13.02.2007 17:50 1.173 ie7_main.log 13.02.2007 17:03 603 wiadebug.log 13.02.2007 15:04 30 Iedit.INI 13.02.2007 15:04 50 wiaservc.log 07.02.2007 23:15 54.156 QTFont.qfn 31.01.2007 22:43 1.500 IE4 Error Log.txt 30.01.2007 00:06 116 NeroDigital.ini 13.01.2007 10:36 93.833 MedCtrOC.log 13.01.2007 10:36 38.969 ehOCGen.log 13.01.2007 10:36 786.256 iis6.log 13.01.2007 10:36 316.389 tsoc.log 13.01.2007 10:36 140.437 ntdtcsetup.log 13.01.2007 10:36 1.374 imsins.log 13.01.2007 10:36 33.949 tabletoc.log 13.01.2007 10:36 232.987 comsetup.log 13.01.2007 10:36 37.338 ocmsn.log 13.01.2007 10:36 12.350 KB929969.log 13.01.2007 10:36 332.334 ocgen.log 13.01.2007 10:36 79.659 plusoc.log 13.01.2007 10:36 131.831 netfxocm.log 13.01.2007 10:36 33.884 msgsocm.log 13.01.2007 10:36 684.427 FaxSetup.log 13.01.2007 10:36 215.814 msmqinst.log 03.01.2007 01:37 2.555 cdplayer.ini 17.12.2006 09:27 1.393 imsins.BAK 17.12.2006 09:27 36.651 KB925454.log 17.12.2006 09:27 45.294 updspapi.log 17.12.2006 09:27 5.766 KB925398.log 17.12.2006 09:27 4.699 KB926251.log 17.12.2006 09:27 7.248 KB923689.log 17.12.2006 09:26 12.783 KB926255.log 17.12.2006 09:26 12.626 KB923694.log 16.12.2006 01:58 1.409 QTFont.for 17.11.2006 03:02 17.639 KB923980.log 17.11.2006 03:02 17.289 KB924270.log 17.11.2006 03:01 18.871 KB920213.log 17.11.2006 03:01 33.273 KB922760.log 4. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\WINDOWS\Temp 16.02.2007 11:44 255 WGAErrLog.txt 1 Datei(en) 255 Bytes 0 Verzeichnis(se), 50.185.678.848 Bytes frei 5. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\WINDOWS\Downloaded Program Files 23.03.2006 14:10 65 desktop.ini 6. Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\ 16.02.2007 12:18 0 sys.txt 16.02.2007 12:17 624 down.txt 16.02.2007 12:15 269 tmp.txt 16.02.2007 12:14 11.986 system.txt 16.02.2007 12:12 382 systemtemp.txt 16.02.2007 12:10 100.698 system32.txt 16.02.2007 10:36 6.683 ComboFix.txt 15.02.2007 16:07 939.048.960 hiberfil.sys 15.02.2007 16:06 1.409.286.144 pagefile.sys 15.02.2007 15:36 209 boot.ini HKLM\SECURITY\Policy\Secrets\SAC* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\webcal\URL Protocol 06.05.2006 09:37 13 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[1].txt 16.02.2007 09:54 386 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[2].txt 16.02.2007 10:09 386 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1] 16.02.2007 10:09 4.26 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1].htm 16.02.2007 10:09 19.00 KB Hidden from Windows API. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13.10.2006 22:26 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13.10.2006 22:26 111.50 KB Visible in Windows API, but not in MFT or directory index. Hab Rootkit (hat diesmal 9 Sachen gefunden) nochmal gemacht, falls du es gebrauchen kannst: HKLM\SECURITY\Policy\Secrets\SAC* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\webcal\URL Protocol 06.05.2006 09:37 13 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[1].txt 16.02.2007 09:54 386 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[2].txt 16.02.2007 10:09 386 bytes Hidden from Windows API. C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1] 16.02.2007 10:09 4.26 KB Hidden from Windows API. C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1].htm 16.02.2007 10:09 19.00 KB Hidden from Windows API. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13.10.2006 22:26 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13.10.2006 22:26 111.50 KB Visible in Windows API, but not in MFT or directory index. |
|
|
||
16.02.2007, 16:47
Ehrenmitglied
Beiträge: 29434 |
#10
susiee85
»» scanne mit option 1 und 2 - poste beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\---------------------------------------------------- «« ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip poste dieses log ----------------------------- Gromozon http://www.prevx.com/gromozon.asp http://virus-protect.org/artikel/spyware/gromozon.html Gromozon Rootkit Removal Tool * Downloade das Gromozon Rootkit Removal Tool von Prevx1. * Speichere es auf dem Desktop. boote in den abgesicherten Modus (F8 druecken, wenn der Rechner bootet) * Beende die Anwendung des Antivirus Programms. * Beende alle Anwendungen, schliesse alle Fenster. * Starte das Programm mit Klick auf scan: * Wenn das Programm zuende gescannt hat, * wird man um OK gebeten , damit der Rechner neu aufstarten kann. * Nach dem Neustart des Rechners , scannt das "Gromozon Rootkit Removal Tool" das System weiter. * Es erstellt einen Bericht, das 'gromozon_removal.log'. Suche das gromozon_removal.log mit der Windows Suche, kopiere seinen Inhalt und poste ihn. - __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 18:38
Member
Themenstarter Beiträge: 18 |
#11
Scan-Report 1:
SmitFraudFix v2.142 Scan done at 17:29:23,45, 16.02.2007 Run from C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QHY3ALQ9\SmitfraudFix[1]\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Susan »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Susan\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Susan\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Scan-Report 2: SmitFraudFix v2.142 Scan done at 17:43:44,18, 16.02.2007 Run from C:\Dokumente und Einstellungen\Susan\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Listen.bat: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\Programme\Gemeinsame Dateien 05.04.2006 06:41 <DIR> . 05.04.2006 06:41 <DIR> .. 23.03.2006 16:44 <DIR> Adobe 03.04.2006 19:11 <DIR> Ahead 30.03.2006 08:52 <DIR> aol 06.05.2006 09:49 <DIR> aolshare 06.04.2006 14:05 <DIR> Buhl Data Service 05.04.2006 05:48 <DIR> DataDesign 05.04.2006 06:20 <DIR> DESIGNER 23.03.2006 14:09 <DIR> Dienste 05.04.2006 06:45 <DIR> InstallShield 05.04.2006 06:40 <DIR> InterVideo 23.03.2006 16:39 <DIR> Java 03.04.2006 19:14 <DIR> LightScribe 03.04.2006 19:18 <DIR> MAGIX Shared 06.05.2006 11:14 <DIR> Microsoft Shared 23.03.2006 14:09 <DIR> MSSoap 05.04.2006 05:40 <DIR> muvee Technologies 03.04.2006 19:13 <DIR> Nero 30.03.2006 08:36 <DIR> Nullsoft 23.03.2006 13:56 <DIR> ODBC 23.03.2006 16:34 <DIR> Real 23.03.2006 13:56 <DIR> SpeechEngines 17.12.2006 09:26 <DIR> System 05.04.2006 06:47 <DIR> Ulead Systems 23.03.2006 16:34 <DIR> xing shared 0 Datei(en) 0 Bytes 26 Verzeichnis(se), 50.177.761.280 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2002 16:13 24.576 dwusplay.dll 25.07.2002 16:13 196.608 dwusplay.exe 24.01.2005 11:38 1.249 erma.inf 25.07.2002 16:05 172.032 isusweb.dll 29.06.2005 16:17 227 opuc.inf 02.12.2005 11:55 5.101 swflash.inf 26.05.2005 04:19 291 wuweb.inf 7 Datei(en) 400.084 Bytes 0 Verzeichnis(se), 50.177.761.280 Bytes frei Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 4C1E-5722 Verzeichnis von C:\Programme 13.02.2007 22:26 <DIR> . 13.02.2007 22:26 <DIR> .. 23.03.2006 16:40 <DIR> Adobe 03.04.2006 19:14 <DIR> Ahead 07.04.2006 22:52 <DIR> ALDI Online Druck Service (Sued) 07.04.2006 22:51 <DIR> ALDI Sued Foto Service 03.04.2006 18:14 <DIR> AMD 13.02.2007 15:09 <DIR> AntiVir PersonalEdition Classic 30.03.2006 08:55 <DIR> AOL 9.0 23.03.2006 14:51 <DIR> ATI Technologies 30.03.2006 09:00 <DIR> CA 05.04.2006 05:48 <DIR> Common~1 23.03.2006 14:07 <DIR> ComPlus Applications 06.04.2006 15:04 <DIR> DivX 05.04.2006 06:41 <DIR> Gemeinsame Dateien 15.02.2007 03:43 <DIR> Google 14.02.2007 15:01 <DIR> ICQLite 09.05.2006 14:53 <DIR> ICQToolbar 17.12.2006 09:27 <DIR> Internet Explorer 05.04.2006 06:40 <DIR> InterVideo 04.07.2006 17:30 <DIR> IrfanView 23.03.2006 16:39 <DIR> Java 21.08.2006 17:54 <DIR> Lavasoft 30.03.2006 08:36 <DIR> Learn2.com 05.04.2006 05:48 <DIR> Letstrade 07.04.2006 22:45 <DIR> MEDION 23.03.2006 15:21 <DIR> Messenger 23.03.2006 14:12 <DIR> microsoft frontpage 05.04.2006 06:27 <DIR> Microsoft Office 05.04.2006 06:27 <DIR> Microsoft Visual Studio 05.04.2006 06:27 <DIR> Microsoft Works 05.04.2006 06:18 <DIR> Microsoft.NET 23.03.2006 14:09 <DIR> Movie Maker 23.03.2006 14:03 <DIR> MSN 23.03.2006 14:04 <DIR> MSN Gaming Zone 06.04.2006 14:32 <DIR> MSN Messenger 17.11.2006 03:01 <DIR> MSXML 4.0 05.04.2006 05:40 <DIR> muvee Technologies 23.03.2006 14:09 <DIR> NetMeeting 05.04.2006 07:32 <DIR> OfficeUpdate11 23.03.2006 14:07 <DIR> Online Services 23.03.2006 14:10 <DIR> Online-Dienste 17.12.2006 09:26 <DIR> Outlook Express 16.02.2007 17:55 <DIR> PestPatrol 23.03.2006 16:29 <DIR> QuickTime 23.03.2006 16:34 <DIR> Real 06.05.2006 12:11 <DIR> Realtek AC97 06.04.2006 10:49 <DIR> Skype 05.04.2006 06:46 <DIR> SmartSound Software 13.02.2007 22:41 <DIR> Spybot - Search & Destroy 23.03.2006 15:37 <DIR> Synaptics 15.07.2006 17:57 <DIR> Ulead Systems 30.03.2006 08:36 <DIR> Viewpoint 23.03.2006 15:36 <DIR> winbond 30.03.2006 09:23 <DIR> Windows Journal Viewer 23.03.2006 15:29 <DIR> Windows Media Connect 2 17.12.2006 09:27 <DIR> Windows Media Player 05.04.2006 06:43 <DIR> Windows Media-Komponenten 23.03.2006 14:04 <DIR> Windows NT 23.03.2006 14:06 <DIR> Windows Plus 06.04.2006 14:05 <DIR> WISO 23.03.2006 14:12 <DIR> xerox 21.06.2006 08:39 <DIR> Yahoo! 0 Datei(en) 0 Bytes 63 Verzeichnis(se), 50.177.757.184 Bytes frei ServiceFilter.zip: The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Service Pack 2 Feb 16, 2007 18:04:49 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir PersonalEdition Classic Planer Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1864 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Guard Start Mode: Auto Start Name: LocalSystem Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 548 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #3 Service Name: AOL ACS Display Name: AOL Connectivity Service Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe" State: Running Process ID: 1976 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #4 Service Name: aspnet_state Display Name: ASP.NET-Zustandsdienst Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 5 Service Name: clr_optimization_v2.0.50727_32 Display Name: .NET Runtime Optimization Service v2.0.50727_X86 Start Mode: Manual Start Name: LocalSystem Description: Microsoft .NET Framework ... Service Type: Own Process Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 6 Service Name: ehRecvr Display Name: Media Center Receiver Service Start Mode: Auto Start Name: LocalSystem Description: Media Center Service for TV and FM broadcast ... Service Type: Own Process Path: c:\windows\ehome\ehrecvr.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 7 Service Name: gusvc Display Name: Google Updater Service Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: "c:\programme\google\common\google updater\googleupdaterservice.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 8 Service Name: IDriverT Display Name: InstallDriver Table Manager Start Mode: Manual Start Name: LocalSystem Description: Provides support for the Running Object Table for InstallShield ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 9 Service Name: InoRPC Display Name: eTrust Antivirus RPC Server Start Mode: Auto Start Name: LocalSystem Description: Listens for Admin Server discovery and policy ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inorpc.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 10 Service Name: InoRT Display Name: eTrust Antivirus Realtime Server Start Mode: Auto Start Name: LocalSystem Description: Provides real-time on-access virus ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inort.exe" State: Running Process ID: 1988 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 11 Service Name: InoTask Display Name: eTrust Antivirus Job Server Start Mode: Auto Start Name: LocalSystem Description: Schedules background task such as scan jobs and signature ... Service Type: Own Process Path: "c:\programme\ca\etrust antivirus\inotask.exe" State: Running Process ID: 724 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 12 Service Name: LightScribeService Display Name: LightScribeService Direct Disc Labeling Service Start Mode: Auto Start Name: LocalSystem Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe" State: Running Process ID: 1600 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 13 Service Name: McrdSvc Display Name: Media Center Extender Service Start Mode: Auto Start Name: NT AUTHORITY\LocalService Description: ... Service Type: Own Process Path: c:\windows\ehome\mcrdsvc.exe State: Running Process ID: 4048 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #14 Service Name: MDM Display Name: Machine Debug Manager Start Mode: Auto Start Name: LocalSystem Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe" State: Running Process ID: 2008 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 15 Service Name: MHN Display Name: MHN Start Mode: Manual Start Name: LocalSystem Description: Ein Multimediaheimnetzwerk (Multimedia Home Networking oder MHN) stellt eine Netzwerkplattform für ... Service Type: Share Process Path: c:\windows\system32\svchost.exe -k netsvcs State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 16 Service Name: NPOBUT Display Name: NPOBUT Start Mode: Manual Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\dokume~1\susan\lokale~1\temp\npobut.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #17 Service Name: ose Display Name: Office Source Engine Start Mode: Manual Start Name: LocalSystem Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ... Service Type: Own Process Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #18 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{7000eb90-3c88-4025-bd24-68c50972a3d7} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 19 Service Name: UleadBurningHelper Display Name: Ulead Burning Helper Start Mode: Auto Start Name: LocalSystem Description: ... Service Type: Own Process Path: c:\programme\gemeinsame dateien\ulead systems\dvd\ulcdrsvr.exe State: Running Process ID: 2360 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 20 Service Name: wbsecsvc Display Name: wbsecsvc Start Mode: Auto Start Name: LocalSystem Description: Winbond Security Supported ... Service Type: Own Process Path: c:\windows\system32\wbsecsvc.exe /service State: Running Process ID: 2376 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 21 Service Name: WMConnectCDS Display Name: Windows Media Connect-Dienst Start Mode: Manual Start Name: NT AUTHORITY\NetworkService Description: Freigabe von Medien für universelle Plug & ... Service Type: Own Process Path: c:\programme\windows media connect 2\wmccds.exe State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 103 Win32 services on this machine. 21 were unrecognized. Script Execution Time: 1,3125 seconds. Gromozon kann ich nicht aufrufen. Auch mit dem anderen Link nicht. "...Seite kann nicht angezeigt werden" erscheint mal wieder |
|
|
||
16.02.2007, 20:03
Ehrenmitglied
Beiträge: 29434 |
#12
««
da der rootkit eventuell den Download von der Originalseite verhindert: http://virus-protect.org/zip/B43DF26.zip «« virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\Dokumente und Einstellungen\susan\Lokale Einstellungen\Temp\npobut.exe poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.02.2007, 21:27
Member
Themenstarter Beiträge: 18 |
#13
Gromozon_removal.log:
Removal tool loaded into memory Gromozon rootkit component not detected - searching for other components Scanning: C:\WINDOWS Scanning: C:\Programme\Gemeinsame Dateien Trojan.Gromozon does not exist - your system is clean. VirusTotal: STATUS: FINISHED Complete scanning result of "npobut.exe", received in VirusTotal at 02.16.2007, 21:07:49 (CET). Antivirus Version Update Result AntiVir 7.3.1.37 02.16.2007 no virus found Authentium 4.93.8 02.16.2007 no virus found Avast 4.7.936.0 02.16.2007 no virus found AVG 386 02.16.2007 no virus found BitDefender 7.2 02.16.2007 no virus found CAT-QuickHeal 9.00 02.16.2007 no virus found ClamAV devel-20060426 02.16.2007 no virus found DrWeb 4.33 02.16.2007 no virus found eSafe 7.0.14.0 02.16.2007 no virus found eTrust-Vet 30.4.3405 02.16.2007 no virus found Ewido 4.0 02.16.2007 no virus found Fortinet 2.85.0.0 02.16.2007 no virus found F-Prot 4.2.1.29 02.16.2007 no virus found F-Secure 6.70.13030.0 02.16.2007 no virus found Ikarus T3.1.0.31 02.16.2007 no virus found Kaspersky 4.0.2.24 02.16.2007 no virus found McAfee 4965 02.16.2007 no virus found Microsoft 1.2204 02.16.2007 no virus found NOD32v2 2066 02.16.2007 no virus found Norman 5.80.02 02.16.2007 no virus found Panda 9.0.0.4 02.16.2007 no virus found Prevx1 V2 02.16.2007 no virus found Sophos 4.14.0 02.16.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 no virus found Symantec 10 02.16.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.16.2007 no virus found VBA32 3.11.2 02.16.2007 no virus found VirusBuster 4.3.19:9 02.16.2007 no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 |
|
|
||
17.02.2007, 02:12
Ehrenmitglied
Beiträge: 29434 |
#14
1.
scanne und poste nach Anleitung den report CWShredder http://virus-protect.org/antispytools1.html http://www.intermute.com/spysubtract/cwshredder_download.html 2. poste dieses log http://virus-protect.org/winpfind.html http://www.bleepingcomputer.com/files/winpfind.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.02.2007, 12:25
Member
Themenstarter Beiträge: 18 |
#15
Ich hoffe das ist richtig so:
**** Run Keys **** RUN: [ehTray] C:\WINDOWS\ehome\ehtray.exe RUN: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" RUN: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe RUN: [AGRSMMSG] AGRSMMSG.exe RUN: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe RUN: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s RUN: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe RUN: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe RUN: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe RUN: [SoundMan] SOUNDMAN.EXE RUN: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime RUN: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min RUN: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background RUN: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 RUN: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe **** Browser Helper Objects **** BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll BHO: [SSVHelper Class] C:\Programme\Java\jre1.5.0_06\bin\ssv.dll BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar4.dll **** IE Toolbars **** TOOLBAR: [ICQ Toolbar] C:\Programme\ICQToolbar\toolbaru.dll TOOLBAR: [&Google] c:\programme\google\googletoolbar4.dll **** IE Extensions **** IEExt: [] IEExt: [Recherchieren] IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe **** Hosts File Entries **** HOSTS: 127.0.0.1 localhost HOSTS: 127.0.0.1 localhost **** IE Settings **** Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default Search: http://www.google.com/ie Local Page: C:\windows\system32\blank.htm Search Bar: http://www.google.com/ie Search Page: http://www.google.com **** IE Context Menu (Right click) **** IEContext: [&ICQ Toolbar Search] res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 **** Layered Service Providers **** LSP: MSAFD Tcpip [TCP/IP] LSP: MSAFD Tcpip [UDP/IP] LSP: RSVP UDP Service Provider LSP: RSVP TCP Service Provider LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0CFE154E-FE29-43FF-BC38-7F0BB261D8D7}] SEQPACKET 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0CFE154E-FE29-43FF-BC38-7F0BB261D8D7}] DATAGRAM 4 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AC542745-1E37-4786-AB7B-7C2F1587B050}] SEQPACKET 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AC542745-1E37-4786-AB7B-7C2F1587B050}] DATAGRAM 3 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0A64618E-A1CB-474A-845C-34770515F68B}] SEQPACKET 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0A64618E-A1CB-474A-845C-34770515F68B}] DATAGRAM 0 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D46BED3-D49F-4DE2-9D5A-571EBDE2ECAD}] SEQPACKET 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D46BED3-D49F-4DE2-9D5A-571EBDE2ECAD}] DATAGRAM 1 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5421DED6-DE71-4ACC-98B6-799505496D80}] SEQPACKET 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5421DED6-DE71-4ACC-98B6-799505496D80}] DATAGRAM 2 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4CAFDE8-5128-40DA-8364-4C85D9E4AEAB}] SEQPACKET 6 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4CAFDE8-5128-40DA-8364-4C85D9E4AEAB}] DATAGRAM 6 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0B471F4-1EB8-4C7E-AC97-B0984708CF3D}] SEQPACKET 7 LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0B471F4-1EB8-4C7E-AC97-B0984708CF3D}] DATAGRAM 7 **** Blocked Control Panel Items **** BLOCKED: [ncpa.cpl] No BLOCKED: [odbccp32.cpl] No **** Downloaded Program Files **** {166B1BCA-3F9C-11CF-8075-444553540000} [http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab] {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} [http://office.microsoft.com/officeupdate/content/opuc3.cab] C:\WINDOWS\opuc.dll {6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250] {8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab] {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab] {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab] {D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab] **** Custom IE Search Items **** SEARCH: [SearchAssistant] http://www.google.com/ie SEARCH: [SearchAssistant] http://www.google.com/ie SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm SEARCH: [Default_Search_URL] http://www.google.com/ie Sorry, beim 2. Log kommt "File not found". Hast du vielleicht einen anderen Link dafuer? Der Alternativdownload funktioniert bei mir auch nicht..."Seite kann nicht angezeigt werden". Dieser Beitrag wurde am 17.02.2007 um 17:04 Uhr von susiee85 editiert.
|
|
|
||
Seit 3 Tagen streikt mein PC und ich kann ausser Google und Wikipedia und ein paar Internetseiten die ich in meiner Favoritenliste gespeichert habe, nichts mehr oeffnen. Bei den anderen Seiten dauert es ungefaehr 2 Minuten bis sich die Seite "...Seite kann nicht angezeigt werden" oeffnet. Seltsamerweise kann ich nur die Seiten aufrufen die ganz oben in meiner Favoritenliste gespeichert sind. Ich lasse die ganze Zeit diverse Anti Viren Programme laufen, meistens wird aber angezeigt, dass nichts gefunden werden konnte. Ich habe auch schon geschaut, welche Programme beim Systemstart geladen werden, aber nichts Auffaelliges gefunden. Ich habe alle "Problemchen" die vom Virenscanner angezeigt wurden schon beseitigt, bzw. alles geloescht hab, was als "gefaehrlich" angezeigt wurde. Ich hab jetzt nochmal 2 Durchgaenge gemacht und mir wurde angezeigt, dass nichts Auffaelliges gefunden wurde. Hab die ueblichen Programme wie Ad-Aware, AntiVir und Spybot. Wenn ich den PC hochfahre dauert es ueberdurchschnittlich lange. Seit ein paar Stunden ist der PC noch lahmer als sonst. Meine Internetverbindung wird aber als gut angezeigt, daran kann es also nicht liegen. Hat jemand vielleicht eine Idee was man machen koennte oder evtl. dasselbe Problem? Hab natuerlich auch schon ans Formatieren gedacht, aber vielleicht hat jemand ja eine andere Idee!
Ich poste einfach mal meinen HJT. Hoffe ich habs richtig gemacht!
Logfile of HijackThis v1.99.1
Scan saved at 18:06:10, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\winbond\w89c33\wwu.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Susan\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720. 3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service(LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe
Waer echt lieb wenn da mal jemand draufschauen koennte!
LG, Susi