Kein Internetzugang nach Hijackthis fixen

#0
23.02.2007, 22:59
Member

Beiträge: 14
#1 Hallo zusammen

In den letzten Tagen hatte ich immer wieder Probleme, dass bei einer Suchauswahl bei Google beim anklicken der Internetseite, nicht die gewünschte Homepage gestartet wurde, sondern verschiedene Onlinecasionseiten.

Ich vermute somit leider, irgendwo einen Virus eingefangen zu haben. Nun habe ich mit dem Programm Hijackthis eine Überprüfung der Festplatte durchgeführt und die dann angezeigten Einträge per 'Fix checked' entfernt.

Seitdem bekomme ich keine Internetverbindung mehr (momentan schreibe ich vom Labtop). Wir haben zu Hause ein kleines Wlan Netzwerk, wo 2 Computer am ZyXel Router Prestige 650H/H-I verbunden sind. Von meinem Labtop kriege ich problemlos eine Verbindung ins Internet.

Frage: was kann ich nun tun, um wieder ins Internet zu kommen. Ich habe den PC mit einem Ethernetkabel direkt an den Router angeschlossen. Dann habe ich eine LAN-Verbindung erhalten, ins Netz konnte ich noch nicht.
Zur drahtlosen Netzwerkverbindung, die eigentlich aufgeführt sein müsste, komme ich nicht.

Ich bin froh, um jegliche Hilfe dieses Problems.

Herzlich
Maverick
Seitenanfang Seitenende
23.02.2007, 23:42
Moderator
Avatar joschi

Beiträge: 6466
#2 Hijackthis erstellt Backups von den gelöschten Einträgen. Kannst Du über das Programm selbst wieder herstellen. Danach postest Du am besten mal das Log hier. Evtl. mit Angaben, was Du zuvor gefixt hast.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
24.02.2007, 00:01
Member

Themenstarter

Beiträge: 14
#3 Ich habe nun versucht per Backup die gelöschte Einträge wiederherzustellen, leider kommt da gar nichts.

Frage: beim Hijhackthis sollte doch automatisch eine .txt Datei generiert werden, die mit einem Popup entsteht. Leider funktioniert dies auch nicht, ich bekomme da keinen Log. Und wenn ich einen bekomme, frage ich mich, wie ich dies ins Forum posten kann, da ich auf diesem PC nicht ins Internet gelange. :-(




Heute morgen hatte ich das Glück, dass ich beim Hijackthis die erstellten Backups wieder herstellen konnte.

So ich habe nun meinen PC zu meinem Router versetzt und ihn direkt mit einem Eternetkabel mit dem Zyxel Router verbunden. Nun kriege ich eine LAN-Internetverbindung, immerhin schon einmal ein kleiner Fortschritt und kann nun auch den Log posten.

Logfile of HijackThis v1.99.1
Scan saved at 10:45:40, on 24.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Siemens I-Gate\MobilePort Manager\Config.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe e:\BPM-ST~1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Siemens MobilePort Manager.lnk = C:\Programme\Siemens I-Gate\MobilePort Manager\Config.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZyAIR.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\googletoolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\googletoolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\googletoolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\googletoolbar1.dll/cmsimilar.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{154C0198-E681-4EC6-9D25-15A35142AD1E}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DDF57F6-3B7D-4E56-B3B6-4D138B161B0B}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5922835E-18FE-45E9-9CFF-F87480644A48}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3BC16F1-43E3-4692-B41C-9AA7EF08E1A3}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.92 85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{154C0198-E681-4EC6-9D25-15A35142AD1E}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.92 85.255.112.68
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Vielen Dank für die Hilfe :-)
Dieser Beitrag wurde am 24.02.2007 um 10:50 Uhr von Maverick7878 editiert.
Seitenanfang Seitenende
24.02.2007, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Maverick7878

««
anwenden: poste dann den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{154C0198-E681-4EC6-9D25-15A35142AD1E}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DDF57F6-3B7D-4E56-B3B6-4D138B161B0B}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{5922835E-18FE-45E9-9CFF-F87480644A48}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3BC16F1-43E3-4692-B41C-9AA7EF08E1A3}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.92 85.255.112.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{154C0198-E681-4EC6-9D25-15A35142AD1E}: NameServer = 85.255.116.92,85.255.112.68
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.92 85.255.112.68
PC neustarten!

««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc
TCP/IP-NetBIOS-Hilfsprogramm - deaktivieren

»»
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2007, 16:59
Member

Themenstarter

Beiträge: 14
#5

Zitat



««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc
[b] TCP/IP-NetBIOS-Hilfsprogramm
- deaktivieren

»»
poste das neue log vom HijackThis
Ich habe nun die Anweisungen befolgt, jedoch komme ich bei den Netzwerkverbindungen nur auf die LAN-Verbindung, da ich mit dem PC gleich beim Router sitze und nicht in meinem Zimmer, wo ich WLAN (drahtlose Netzwerkverbindung) haben sollte. Muss ich mit meinem PC nun an meinen alten Platz zurück oder noch vor dem Router bleiben?

Hier die Logs:

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdfkv.exe"

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.Jotti.org/

»»»»» Other
C:\WINDOWS\Temp\kdfkv.ren 63437 04.08.2004



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"Picasa Media Detector"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Smapp"="C:\\Programme\\Analog Devices\\SoundMAX\\SMTray.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"PhotoShow Deluxe Media Manager"="C:\\PROGRA~1\\SIMPLE~1\\PHOTOS~1\\data\\Xtras\\mssysmgr.exe"
"Norton SystemWorks"="\"C:\\Programme\\Norton SystemWorks\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"BPMInit"="BpmInit.exe e:\\BPM-ST~1"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Logfile of HijackThis v1.99.1
Scan saved at 16:49:18, on 24.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Siemens I-Gate\MobilePort Manager\Config.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ZyXEL Corporation\ZyAIR WLAN Utility\ZyAIR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\SIMPLE~1\PHOTOS~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe e:\BPM-ST~1
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Siemens MobilePort Manager.lnk = C:\Programme\Siemens I-Gate\MobilePort Manager\Config.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZyAIR.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\googletoolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\googletoolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\googletoolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\googletoolbar1.dll/cmsimilar.html
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Vielen Dank für die Hilfe :-)
Seitenanfang Seitenende
24.02.2007, 17:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das Problem ist geloest ;) - deine Internetverbindung ging in die Ukraine, nicht zu deinem Provider ;) -jetzt allerdings ist es wieder, wie es sein sollte.... dank fixwareout
dennoch mache noch einen Onlinescan mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 10:28
Member

Themenstarter

Beiträge: 14
#7 Hallo Sabina

Da bin ich aber froh, dass das Problem nun gelöst ist. :) Ich habe meinen PC nun wieder in meinem Zimmer und konnte erfolgreich die WLAN-Verbindung zum Router herstellen.

Weiss man, woher die Internetverbindung in die Ukraine ging? Ich hoffe, ich kriege da nicht in den nächsten Tagen eine Rechnung aus der Ukraine. :(

Hier noch der Scanreport von Ewido:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.ErrorSafe
Path: HKLM\SOFTWARE\ErrorSafe
Risk: Medium

Name: Adware.ErrorSafe
Path: HKLM\SOFTWARE\ErrorSafe\ErrorSafe
Risk: Medium

Name: Adware.KeenValue
Path: HKLM\SOFTWARE\PerfectNav
Risk: Medium

Name: Not-A-Virus.Exploit.ByteVerify
Path: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Gummy.class-17d434ef-7a6ff54a.class
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N68M0602NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.1\UERSU_0001_N68M1402NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N68M0602NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.2\UERSU_0001_N68M1402NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.3\UERSU_0001_N68M1402NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\CONFLICT.4\UERSU_0001_N68M1402NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M0602NetInstaller.exe
Risk: Low

Name: Not-A-Virus.Downloader.Win32.WinFixer.d
Path: C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe
Risk: Low

Name: Adware.P2PNet
Path: C:\WINDOWS\system32\P2P Networking v126.cpl
Risk: Medium

Name: Trojan.DNSChanger.hm
Path: C:\WINDOWS\Temp\kdfkv.ren
Risk: High

Name: Not-A-Virus.Exploit.Win32.RealServer.b
Path: E:\Eishockeyforum\download\pconvert.exe
Risk: Low

Herzliche Grüsse
Maverick
Seitenanfang Seitenende
25.02.2007, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Maverick7878

1.
nach dem scan mit ewido: "remove infections" klicken

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 12:52
Member

Themenstarter

Beiträge: 14
#9 Das habe ich nun so hingekriegt. Hier der Text, der beim anklicken des Files auf dem Desktop erscheint.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

26.01.2007 18:30 <DIR> .
26.01.2007 18:30 <DIR> ..
26.01.2007 18:30 1'720 Adobe Reader 7.0.lnk
25.05.2005 12:22 478 FIFA 2003.lnk
28.07.2006 23:00 1'612 Google Earth.lnk
11.04.2006 16:18 922 HP Image Zone.lnk
11.04.2006 16:14 784 HP Director.lnk
11.04.2006 16:17 1'936 HP Dokumentanzeige.lnk
14.04.2006 20:59 1'779 Macromedia Dreamweaver 8.lnk
09.04.2005 14:54 684 MAGIX Video deLuxe 2005.lnk
29.05.2006 08:06 1'706 MSN Messenger 7.5.lnk
11.07.2006 21:03 1'633 Nikon FotoShare.lnk
23.05.2005 17:00 1'575 Norton SystemWorks.lnk
21.11.2005 19:19 630 PDFCreator.lnk
26.08.2006 14:18 638 Picasa2.lnk
11.07.2006 21:04 1'662 PictureProject.lnk
11.07.2006 21:02 696 QuickTime Player.lnk
15 Datei(en) 18'455 Bytes
2 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Desktop

25.02.2007 12:51 <DIR> .
25.02.2007 12:51 <DIR> ..
31.07.2004 10:19 793 Adobe Photoshop 6.0.lnk
12.08.2004 17:47 871 Adobe Photoshop Elements.lnk
19.02.2006 11:18 1'512 CCleaner.lnk
22.02.2006 22:32 659 CleanUp!.lnk
30.07.2004 21:32 695 Image Composer 1.5.lnk
08.02.2007 21:10 685 Internet TV.lnk
25.02.2007 12:51 1'133 listen.bat
21.01.2007 20:12 2'509 Microsoft FrontPage.lnk
20.02.2007 20:15 2'495 Microsoft Word.lnk
03.08.2004 09:15 1'561 Microsoft Works.lnk
31.12.2001 23:11 1'307 Nero StartSmart.lnk
31.07.2004 12:30 1'639 NHL 2004.lnk
14.04.2006 15:24 <DIR> Nicht verwendete Desktopverknpfungen
26.09.2006 18:52 787 ORF-Rad Challenge 06 starten.lnk
11.07.2005 16:38 1'818 Photocolor Bestellsoftware.lnk
24.12.2006 22:52 676 S.A.D. - FreeTV 2.lnk
02.12.2005 23:31 752 Ski Challenge 2006 SF.lnk
06.12.2006 23:31 806 Ski Challenge 2007 (SF) starten.lnk
21.01.2007 20:19 2'213 SmartFTP.lnk
08.12.2006 14:01 591 Staff-FTP.lnk
23.10.2005 12:42 630 TextPad.lnk
11.02.2007 12:15 1'470 Zattoo.lnk
21 Datei(en) 25'602 Bytes
3 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Windows\System32\Com

30.07.2006 00:42 <DIR> .
30.07.2006 00:42 <DIR> ..
26.07.2005 05:39 195'072 comadmin.dll
02.04.2003 13:00 61'440 comempty.dat
02.04.2003 13:00 77'348 comexp.msc
04.08.2004 08:57 9'728 comrepl.exe
02.04.2003 13:00 5'120 comrereg.exe
02.04.2003 13:00 19'456 mtsadmin.tlb
6 Datei(en) 368'164 Bytes
2 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Windows\system32\config

20.07.2004 09:07 <DIR> .
20.07.2004 09:07 <DIR> ..
25.02.2007 00:18 524'288 AppEvent.Evt
25.02.2007 12:41 262'144 default
20.07.2004 16:52 94'208 default.sav
26.11.2006 08:34 65'536 Internet.evt
25.02.2007 00:18 262'144 SAM
25.02.2007 00:18 524'288 SecEvent.Evt
25.02.2007 00:18 262'144 SECURITY
25.02.2007 00:18 29'622'272 software
20.07.2004 16:52 606'208 software.sav
25.02.2007 00:18 524'288 SysEvent.Evt
25.02.2007 08:30 4'456'448 system
20.07.2004 16:52 393'216 system.sav
14.01.2005 09:09 <DIR> systemprofile
20.07.2004 16:52 262'144 userdiff
13 Datei(en) 37'859'328 Bytes
3 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 13:32 198'304 avsniffdlgs.dll
17.05.2006 13:26 537'704 AXXPEE.dll
25.06.2003 18:00 541 ca.pub
26.07.2006 00:00 2'504 catalog.dat
25.02.2007 10:24 <DIR> CONFLICT.1
25.02.2007 10:24 <DIR> CONFLICT.2
22.02.2006 17:50 <DIR> CONFLICT.3
22.02.2006 19:20 <DIR> CONFLICT.4
28.04.1997 11:28 28'672 CPSurVid.dll
05.08.2006 15:11 45'320 daas.log
17.01.2006 16:11 580'663 daas_s.dll
26.07.2006 00:00 6'899 ecbootil.vxd
17.05.2006 13:26 42'112 ecmldr32.dll
26.07.2006 00:00 272'040 ecmsvr32.dll
11.07.2006 09:41 345'656 ewidoOnlineScan.dll
03.02.2006 10:20 188'416 fsauc.dll
04.06.2004 09:44 740 jinstall-1_4_2_05.inf
17.05.2006 13:28 6'850 navapi.vxd
17.05.2006 13:28 201'896 navapi32.dll
26.07.2006 00:00 124'584 naveng32.dll
26.07.2006 00:00 882'344 navex32a.dll
31.05.2002 09:19 117'328 PURde-ch.dll
15.10.2004 07:53 110'592 PURde-xx.dll
19.06.2002 14:11 117'088 PURen-us.dll
26.07.2006 00:00 97'504 scrauth.dat
27.03.2006 12:00 5'019 swflash.inf
26.07.2006 00:00 14 symaveng.cat
26.07.2006 00:00 901 symaveng.inf
26.07.2006 00:00 48'406 tcdefs.dat
26.07.2006 00:00 871'097 tcscan7.dat
26.07.2006 00:00 306'408 tcscan8.dat
26.07.2006 00:00 645'980 tcscan9.dat
26.07.2006 00:00 453 tinf.dat
26.07.2006 00:00 148 tinfidx.dat
26.07.2006 00:00 1'957 tinfl.dat
26.07.2006 00:00 56'723 tscan1.dat
26.07.2006 00:00 3'027 tscan1hd.dat
26.07.2006 00:00 5'116 v.grd
26.07.2006 00:00 2'249 v.sig
26.07.2006 00:00 106'244 virscan.inf
26.07.2006 00:00 963'114 virscan1.dat
26.07.2006 00:00 569'646 virscan2.dat
26.07.2006 00:00 146'432 virscan3.dat
26.07.2006 00:00 320'105 virscan4.dat
26.07.2006 00:00 2'594'271 virscan5.dat
26.07.2006 00:00 389'041 virscan6.dat
26.07.2006 00:00 4'162'498 virscan7.dat
26.07.2006 00:00 1'575'469 virscan8.dat
26.07.2006 00:00 3'505'197 virscan9.dat
26.07.2006 00:00 32 virscant.dat
30.06.2003 21:41 1'689 WMV9VCM.inf
26.07.2006 00:00 224 zdone.dat
48 Datei(en) 20'189'217 Bytes
4 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Programme\Common Files

09.04.2005 12:04 <DIR> .
09.04.2005 12:04 <DIR> ..
10.09.2004 08:40 <DIR> System
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer

25.02.2007 00:17 <DIR> .
25.02.2007 00:17 <DIR> ..
30.07.2004 20:55 <DIR> AbiSuite
14.11.2004 21:39 0 AdobeWeb.log
11.04.2006 16:19 <DIR> AnwendungsdatenPDFcreator
03.08.2004 11:49 <DIR> Application Data
25.02.2007 12:51 <DIR> Desktop
04.08.2006 21:29 <DIR> DoctorWeb
19.02.2007 20:41 <DIR> Eigene Dateien
14.01.2007 11:39 <DIR> Favoriten
13.07.2006 22:34 8'583 gsview32.ini
12.04.2006 16:50 <DIR> Startmen
30.07.2004 14:20 <DIR> WINDOWS
2 Datei(en) 8'583 Bytes
11 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Program Files

11.04.2006 16:08 <DIR> .
11.04.2006 16:08 <DIR> ..
09.04.2005 12:04 <DIR> Altnet
11.04.2006 16:08 <DIR> HP
10.09.2004 09:43 <DIR> Spyware Stormer
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp

25.02.2007 12:46 <DIR> .
25.02.2007 12:46 <DIR> ..
25.02.2007 08:50 2'048'000 AcrAD31.tmp
25.02.2007 08:50 426 AcrAD33.tmp
25.02.2007 08:32 47'122 DIO5.tmp
25.02.2007 08:33 47'122 DIO7.tmp
25.02.2007 10:24 <DIR> ewido_quarantine
24.02.2007 23:26 <DIR> ewido_signatures
25.02.2007 00:17 12'716 hpodvd09.log
25.02.2007 08:36 510 jusched.log
24.02.2007 16:32 1'430 MAR2.tmp
24.02.2007 16:47 1'430 MAR3.tmp
25.02.2007 08:32 1'430 MAR4.tmp
24.02.2007 10:33 1'430 MARA.tmp
24.02.2007 16:47 16'384 ~DF31E9.tmp
24.02.2007 16:32 16'384 ~DF31FF.tmp
25.02.2007 08:32 16'384 ~DF4FCA.tmp
25.02.2007 08:33 16'384 ~DF6E46.tmp
24.02.2007 10:33 16'384 ~DFBA68.tmp
15 Datei(en) 2'243'536 Bytes
4 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\WINDOWS\Temp

25.02.2007 10:24 <DIR> .
25.02.2007 10:24 <DIR> ..
25.02.2007 08:30 255 WGAErrLog.txt
25.02.2007 08:31 409 WGANotify.settings
2 Datei(en) 664 Bytes
2 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Temp

04.11.2006 13:40 <DIR> .
04.11.2006 13:40 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Programme

25.02.2007 08:31 <DIR> .
25.02.2007 08:31 <DIR> ..
23.08.2005 10:17 <DIR> Adobe
31.12.2001 23:11 <DIR> Ahead
20.07.2004 10:13 <DIR> Analog Devices
09.09.2004 13:49 <DIR> Anark
20.07.2004 09:26 <DIR> ATI Technologies
31.08.2005 13:22 <DIR> Business Objects
19.02.2006 11:19 <DIR> CCleaner
04.11.2006 12:55 <DIR> CleanUp!
09.04.2005 12:04 <DIR> Common files
20.07.2004 09:02 <DIR> ComPlus Applications
30.07.2004 20:36 <DIR> CoreFTP
31.08.2005 13:22 <DIR> cView
31.12.2001 23:15 <DIR> CyberLink
18.04.2005 16:17 <DIR> directx
09.09.2004 18:34 <DIR> DivX
24.05.2005 17:10 <DIR> EA SPORTS
23.08.2004 00:05 <DIR> FotoStation Easy
25.02.2007 08:31 <DIR> Gemeinsame Dateien
03.11.2004 17:42 <DIR> Ghostgum
07.08.2005 09:06 <DIR> Google
13.05.2006 08:23 <DIR> Hewlett-Packard
11.04.2006 16:19 <DIR> HP
18.02.2007 23:26 <DIR> Internet Explorer
08.02.2007 21:10 <DIR> Internet TV
14.01.2007 10:03 <DIR> Java
03.12.2004 13:06 <DIR> JoWooD
14.04.2006 20:57 <DIR> Macromedia
09.04.2005 14:56 <DIR> MAGIX Online Druck Service
03.04.2005 11:49 <DIR> Marketingpraxis SE
03.04.2005 11:49 <DIR> Messenger
31.07.2004 10:29 <DIR> MetaCreations
04.11.2006 00:34 <DIR> metier 2000 PDF
04.11.2006 00:34 <DIR> metier2000PDF
04.11.2006 00:34 <DIR> metPDF
04.11.2006 00:38 <DIR> metPDF5
03.08.2004 09:19 <DIR> Microsoft AutoRoute
03.08.2004 09:24 <DIR> Microsoft Encarta
30.07.2004 21:21 <DIR> microsoft frontpage
03.04.2005 11:49 <DIR> Microsoft Image Composer
14.04.2006 22:49 <DIR> Microsoft Office
03.04.2005 11:49 <DIR> Microsoft Picture It! 9
30.07.2004 21:22 <DIR> Microsoft Visual Studio
03.04.2005 11:49 <DIR> Microsoft Works
03.08.2004 09:13 <DIR> Microsoft Works Suite 2004
03.04.2005 11:49 <DIR> Movie Maker
26.07.2006 21:01 <DIR> Mozilla Firefox
20.07.2004 09:01 <DIR> MSN
20.07.2004 09:01 <DIR> MSN Gaming Zone
29.05.2006 08:07 <DIR> MSN Messenger
13.08.2004 15:00 <DIR> MSPublisher
16.11.2006 23:49 <DIR> MSXML 4.0
27.09.2004 10:46 <DIR> NetMeeting
11.07.2006 21:03 <DIR> Nikon
23.05.2006 15:26 <DIR> Norton Personal Firewall
16.10.2006 11:22 <DIR> Norton SystemWorks
30.07.2004 22:46 <DIR> OLYMPUS
20.07.2004 09:01 <DIR> Online Services
20.07.2004 09:04 <DIR> Online-Dienste
16.12.2006 00:45 <DIR> Outlook Express
21.11.2005 19:19 <DIR> PDFCreator
30.07.2004 22:49 <DIR> Photocolor
26.08.2006 14:54 <DIR> Picasa2
23.12.2004 12:50 <DIR> PowerPoint Viewer
07.02.2005 16:40 <DIR> Proofex
11.07.2006 21:03 <DIR> QuickTime
30.09.2004 22:15 <DIR> Real
24.12.2006 22:52 <DIR> S.A.D
30.07.2004 14:21 <DIR> Siemens I-Gate
30.07.2004 22:04 <DIR> Simple Star
24.08.2004 14:25 <DIR> Skype
31.07.2004 11:00 <DIR> SmartFTP
31.07.2004 10:59 <DIR> SmartFTP Setup Files
21.01.2007 20:18 <DIR> Staff-FTP
21.12.2005 17:27 <DIR> Symantec
23.05.2005 17:01 <DIR> SymNetDrv
30.07.2004 23:22 <DIR> TextPad 4
03.04.2005 00:05 <DIR> Winamp
30.07.2006 00:43 <DIR> Windows Media Player
27.09.2004 10:46 <DIR> Windows NT
15.12.2005 21:28 <DIR> WinZip
20.07.2004 09:05 <DIR> xerox
31.07.2004 16:31 <DIR> XynX! GmbH
19.02.2006 11:18 <DIR> Yahoo!
11.02.2007 12:16 <DIR> Zattoo
08.10.2006 14:38 <DIR> ZGKB InBa
30.07.2004 15:01 <DIR> ZyXEL Corporation
0 Datei(en) 0 Bytes
88 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten

04.04.2005 13:52 <DIR> Adobe
25.02.2007 08:32 <DIR> ApplicationHistory
25.12.2006 14:51 77'824 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
11.04.2006 16:44 141 fusioncache.dat
12.07.2006 05:56 374'768 GDIPFONTCACHEV1.DAT
26.08.2006 14:24 <DIR> Google
13.08.2004 15:04 <DIR> Help
11.04.2006 16:44 <DIR> HP
01.08.2004 08:53 <DIR> Identities
14.04.2006 15:25 <DIR> IsolatedStorage
26.11.2006 09:02 <DIR> Microsoft
14.04.2006 14:55 <DIR> Mozilla
11.07.2006 21:11 <DIR> Nikon
11.07.2006 21:10 <DIR> Pixology
11.02.2007 12:16 <DIR> Zattoo
11.02.2007 12:16 <DIR> ZattooPlayer
3 Datei(en) 452'733 Bytes
13 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten

29.07.2005 11:35 <DIR> Adobe
03.11.2006 23:59 <DIR> AdobeAUM
26.01.2007 18:25 <DIR> AdobeUM
07.09.2004 22:45 <DIR> Ahead
20.08.2004 12:06 <DIR> ArcSoft
30.07.2004 20:37 <DIR> CoreFTP
06.08.2004 17:05 <DIR> CyberLink
25.12.2006 12:50 <DIR> FreeTV
20.07.2006 22:06 374'768 GDIPFONTCACHEV1.DAT
13.05.2006 08:25 6'963 GdiplusUpgrade_MSIApproach_Wrapper.log
07.08.2005 09:07 <DIR> Google
13.08.2004 15:04 <DIR> Help
20.07.2004 09:23 <DIR> Identities
14.04.2006 21:25 <DIR> Macromedia
25.05.2006 13:29 <DIR> Magix
30.07.2004 21:21 <DIR> Microsoft Web Folders
14.04.2006 14:55 <DIR> Mozilla
09.04.2005 16:19 <DIR> MSN6
11.07.2006 21:12 <DIR> Nikon
21.11.2005 19:19 <DIR> PDFCreator
30.09.2004 22:17 <DIR> Real
30.07.2004 22:08 <DIR> Simple Star
25.02.2007 12:50 <DIR> Skype
31.07.2004 11:07 <DIR> SmartFTP
30.07.2004 22:36 <DIR> Snapfish
04.08.2004 19:01 <DIR> Sun
30.05.2005 11:15 <DIR> Symantec
23.10.2005 12:42 <DIR> TextPad
31.07.2006 22:08 <DIR> WholeSecurity
22.02.2007 22:57 53'422 wklnhst.dat
3 Datei(en) 435'153 Bytes
27 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

26.01.2007 18:30 <DIR> Adobe
20.07.2004 11:22 <DIR> Ahead
31.12.2001 23:15 <DIR> CyberLink
11.07.2006 21:53 <DIR> EnterNHelp
11.04.2006 16:19 <DIR> HP
11.04.2006 16:21 828 hpzinstall.log
14.04.2006 20:57 <DIR> Macromedia
09.04.2005 16:19 <DIR> MSN6
12.08.2004 17:34 <DIR> QuickTime
01.11.2005 08:09 <DIR> Skype
23.05.2005 16:52 <DIR> Symantec
11.07.2006 21:53 <DIR> Ultima_T15
14.09.2006 11:38 <DIR> Windows Genuine Advantage
19.02.2006 11:27 <DIR> Yahoo! Companion
1 Datei(en) 828 Bytes
13 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Programme\Gemeinsame Dateien

25.02.2007 08:31 <DIR> .
25.02.2007 08:31 <DIR> ..
08.12.2006 12:03 <DIR> Adobe
20.07.2004 11:22 <DIR> Ahead
31.07.2004 09:05 <DIR> BullGuard
31.08.2005 13:22 <DIR> Business Objects
30.07.2004 21:22 <DIR> Designer
20.07.2004 09:03 <DIR> Dienste
11.04.2006 16:13 <DIR> Hewlett-Packard
11.04.2006 16:17 <DIR> HP
14.04.2006 20:55 <DIR> InstallShield
04.08.2004 18:58 <DIR> Java
14.04.2006 20:58 <DIR> Macromedia
09.04.2005 14:54 <DIR> MAGIX Shared
13.06.2006 21:28 <DIR> Microsoft Shared
20.07.2004 09:03 <DIR> MSSoap
11.07.2006 21:03 <DIR> muvee Technologies
11.07.2006 21:12 <DIR> Nikon
20.07.2004 15:54 <DIR> ODBC
07.02.2005 16:40 <DIR> PDX
30.09.2004 22:15 <DIR> Real
20.07.2004 15:54 <DIR> SpeechEngines
05.02.2007 07:38 <DIR> Symantec Shared
16.12.2006 00:45 <DIR> System
30.09.2004 22:15 <DIR> xing shared
0 Datei(en) 0 Bytes
25 Verzeichnis(se), 9'904'099'328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9011-449E

Verzeichnis von C:\Windows\tasks

23.02.2007 21:16 592 Norton AntiVirus - Meinen Computer prfen - Besitzer.job
19.02.2007 12:00 290 Norton SystemWorks One Button Checkup.job
25.02.2007 00:00 318 Symantec Drmc.job
25.02.2007 12:41 350 Symantec NetDetect.job
4 Datei(en) 1'550 Bytes
0 Verzeichnis(se), 9'904'099'328 Bytes frei
Seitenanfang Seitenende
25.02.2007, 13:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Folders to delete:
C:\Program Files\Altnet
C:\Program Files\Spyware Stormer
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
C:\WINDOWS\Downloaded Program Files\CONFLICT.2
C:\WINDOWS\Downloaded Program Files\CONFLICT.3
C:\WINDOWS\Downloaded Program Files\CONFLICT.4
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
scanne noch mal mit ewido, lasse alles loeschen ;) was noch gefunden wird
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 20:06
Member

Themenstarter

Beiträge: 14
#11 Hallo Sabina ;)

Ich habe die von Dir beschriebenen Schritte durchgeführt und hoffe, dass ich jetzt nicht mehr von ukrainischen Spionen infisziert bin :-)

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xhdmuvqp

*******************

Script file located at: \??\C:\Documents and Settings\lvsyhtrl.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Folder C:\Program Files\Altnet deleted successfully.
Folder C:\Program Files\Spyware Stormer deleted successfully.
Folder C:\WINDOWS\Downloaded Program Files\CONFLICT.1 deleted successfully.
Folder C:\WINDOWS\Downloaded Program Files\CONFLICT.2 deleted successfully.
Folder C:\WINDOWS\Downloaded Program Files\CONFLICT.3 deleted successfully.


Folder C:\WINDOWS\Downloaded Program Files\CONFLICT. not found!
Deletion of folder C:\WINDOWS\Downloaded Program Files\CONFLICT. failed!

Could not process line:
C:\WINDOWS\Downloaded Program Files\CONFLICT.
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Planetactive
Path: C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ads.planetactive[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@mediaplex[1].txt
Risk: Medium

Merci vielmals für die gute Hilfe.
Seitenanfang Seitenende
25.02.2007, 20:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 alles wieder in Butter ;) - wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende