Home » Viren, Trojaner & Malware Forum » Tasten vertauscht » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Tasten vertauscht

23.06.2007, 21:29

treasure

...neu hier

Beiträge: 8

#1 also ich habe das problem, dass meine tasten anscheinend vertauscht sind...
shift z.b. wirkt wie backspace also es schreibt einen buchstaben gross und der verschwindet dann gleich wieder...
ähnliche probleme gibts auch bei anderen tasten! mein windowskennwort war geändert habe es dann über den abgesicherten modus wiedergeholt und antivir hat auch 2viren enddeckt...
leider gibt es immernoch das problem mit den tasten kann auch den taskmanager nicht öffnen, da die alt-taste anscheinend nicht funktioniert...

hier mein hijackthi-log:

Logfile of HijackThis v1.99.1
Scan saved at 21:21:00, on 23.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\private_server\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\RunServices: [Windows Security] win32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Apache2.2 - Unknown owner - C:\Dokumente und Einstellungen\Michael\Eigene Dateien\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySQL - Unknown owner - C:\Dokumente.exe (file missing)

habe in der msconfig schon alle autostarts unter der registerkarte "systemstart" deaktiviert aber die tasten funktionieren dennoch falsch

23.06.2007, 22:55

darknight

Member

Beiträge: 327

#2 guck mal, ob Du so einen Eintrag in der reg hast:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,..................

falls ja:

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=-

zitat als *.reg file speichern und mit der Registry zusammenführen.
__________
darknight, die wo anders Heike ist.

23.06.2007, 22:59

treasure

...neu hier

Themenstarter

Beiträge: 8

#3 also ich hab jetzt "regedit" ausgeführt und bin in das Verzeichnss gegangen, aber jetzt finde ich nicht was du meinst...brauch ich dafür ein anderes tool?

23.06.2007, 23:24

darknight

Member

Beiträge: 327

#4 http://img517.imageshack.us/img517/8457/zwischenablage01qc0.jpg

so sollte es bei Dir aussehen, vielleicht hilft Dir der Screen. wenn es nicht so aussieht, wird es die Ursache Deiner Probleme sein.
__________
darknight, die wo anders Heike ist.

23.06.2007, 23:46

treasure

...neu hier

Themenstarter

Beiträge: 8

#5 sieht genauso aus^^ aber an was könnte es noch liegen?

24.06.2007, 00:00

darknight

Member

Beiträge: 327

#6 vielleicht hat ja noch einer eine idee, ich wüßte im Monent nur diese
__________
darknight, die wo anders Heike ist.

24.06.2007, 11:33

Argus

Ehrenmitglied

Beiträge: 6028

#7 Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\RunServices: [Windows Security] win32.exe

klicke:Fix checked

Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht zuzammen mit ein log von HijackThis
__________
MfG Argus

24.06.2007, 11:51

treasure

...neu hier

Themenstarter

Beiträge: 8

#8 Hijackthis (nach dem fix checked):

Zitat

ogfile of HijackThis v1.99.1
Scan saved at 11:42:29, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\private_server\MySQL\bin\mysqld-nt.exe
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\ComboFix\nircmd.cfexe
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Apache2.2 - Unknown owner - C:\Dokumente und Einstellungen\Michael\Eigene Dateien\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySQL - Unknown owner - C:\Dokumente.exe (file missing)

und das combifix (nach dem fix checked) das logfile musste ich aber manuell öffnen:

Zitat

"Michael" - 2007-06-24 11:39:11 - ComboFix 07-06-23.5 - Service Pack 2 NTFS

((((((((((((((((((((((((( Files Created from 2007-05-24 to 2007-06-24 )))))))))))))))))))))))))))))))

2007-06-24 11:38 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-23 21:13 <DIR> d-------- C:\WINDOWS\pss
2007-06-23 16:21 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-06-23 15:02 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-06-23 14:57 524,288 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-06-23 14:57 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-06-23 14:57 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-06-23 14:57 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-06-23 14:57 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-06-23 14:57 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-06-23 14:57 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-06-23 14:57 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-06-23 14:08 <DIR> d-------- C:\Programme\Octoshape Streaming Services
2007-06-14 16:00 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-06-14 15:51 <DIR> d-------- C:\Programme\Game Cam v1.4
2007-06-02 13:19 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-06-01 11:49 <DIR> d-------- C:\DOKUME~1\Michael\ANWEND~1\Google
2007-06-01 11:47 <DIR> d-------- C:\Programme\Google
2007-05-29 16:30 <DIR> d-------- C:\WINDOWS\uninstall
2007-05-29 16:30 <DIR> d-------- C:\Programme\Bo-Shot
2007-05-25 17:36 <DIR> d-------- C:\Programme\Adobe Photoshop CS3 German Portable
2007-05-25 17:12 <DIR> d-------- C:\Programme\MaNGOS Database Handler
2007-05-24 15:04 <DIR> d-------- C:\DOKUME~1\anni\ANWEND~1\vlc

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-24 09:19:15 -------- d-----w C:\Programme\Steam
2007-06-23 19:42:03 -------- d-----w C:\Programme\Free KGB Key Logger
2007-06-23 08:43:21 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-23 08:42:09 -------- d-----w C:\DOKUME~1\Michael\ANWEND~1\Hamachi
2007-06-22 19:20:10 -------- d-----w C:\DOKUME~1\Michael\ANWEND~1\teamspeak2
2007-06-22 17:24:24 -------- d-----w C:\Programme\ICQToolbar
2007-06-17 09:14:25 -------- d-----w C:\Programme\C4D Studio Bundle v9.012
2007-06-14 20:29:57 -------- d-----w C:\DOKUME~1\Michael\ANWEND~1\ICQ
2007-06-07 11:36:08 -------- d-----w C:\Programme\wow
2007-06-04 15:19:41 -------- d-----w C:\Programme\SQLyog Enterprise Trial
2007-06-03 08:02:14 -------- d-----w C:\Programme\World of Warcraft
2007-05-25 17:08:37 1,286 ----a-w C:\WINDOWS\mozver.dat
2007-05-18 18:53:11 26,056 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-05-16 15:54:21 -------- d-----w C:\Programme\Teamspeak2_RC2
2007-05-12 09:22:36 -------- d-----w C:\Programme\WoW Lookup
2007-05-10 21:06:58 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-05-10 20:53:33 720,896 ----a-w C:\WINDOWS\iun6002.exe
2007-05-10 09:43:26 74,996 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-10 09:43:26 415,470 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-10 05:38:25 -------- d-----w C:\Programme\MobMapUpdater
2007-05-09 20:54:19 -------- d-----w C:\DOKUME~1\Michael\ANWEND~1\SQLyog
2007-05-09 08:02:14 -------- d-----w C:\Programme\ICQ6
2007-05-04 11:31:12 -------- d-----w C:\Programme\Audio Recorder Pro
2007-04-29 13:46:43 -------- d-----w C:\Programme\TechSmith
2007-04-28 19:58:41 348,160 ----a-w C:\WINDOWS\system32\MSVCR71.dll
2007-04-28 18:58:33 -------- d-----w C:\Programme\PremiumSoft
2007-04-27 18:05:04 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-04-25 13:16:16 -------- d--h--w C:\Programme\PxswOdniw
2007-04-17 14:52:22 0 ----a-w C:\WINDOWS\nsreg.dat
2007-04-17 14:37:21 0 --sha-r C:\MSDOS.SYS
2007-04-17 14:37:21 0 --sha-r C:\IO.SYS
2007-04-17 14:37:21 0 ----a-w C:\CONFIG.SYS
2007-04-17 14:37:21 0 ----a-w C:\AUTOEXEC.BAT
2007-04-17 14:34:20 21,740 ----a-w C:\WINDOWS\system32\emptyregdb.dat

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=C:\PROGRA~1\ICQTOO~1\toolbaru.dll [2006-12-25 10:40]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:11]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bo-Shot.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bo-Shot.lnk
backup=C:\WINDOWS\pss\Bo-Shot.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
RunDll32 cmicnfg.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"C:\Programme\Steam\Steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Security]
win32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
C:\Programme\Free KGB Key Logger\winlogons.exe

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-24 11:41:12
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySQL]
"ImagePath"="\"C:\Dokumente und Einstellungen\Michael\Eigene Dateien\private_server\MySQL\bin\mysqld-nt\" --defaults-file=\"C:\Dokumente und Einstellungen\Michael\Eigene Dateien\private_server\MySQL\my.ini\" MySQL"

Completion time: 2007-06-24 11:41:37

--- E O F ---

24.06.2007, 11:55

Argus

Ehrenmitglied

Beiträge: 6028

#9 Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus

24.06.2007, 12:13

treasure

...neu hier

Themenstarter

Beiträge: 8

#10 Also als ich regebootet habe hat sich bei mir "Report.txt" geöffnet:

Zitat

SDFix: Version 1.88

Run by Michael on 24.06.2007 at 12:06

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

Checking C:\WINDOWS
C:\WINDOWS
No streams found.

Checking C:\WINDOWS\system32
C:\WINDOWS\system32
No streams found.

Checking C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.

Checking C:\WINDOWS\system32\ntoskrnl.exe
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Listing Files with Hidden Attributes:

Listing User Accounts:

Administrator anni ASPNET
Gast Hilfeassistent Michael
SUPPORT_388945a0
Der Befehl wurde erfolgreich ausgefhrt.

Finished

24.06.2007, 12:35

Argus

Ehrenmitglied

Beiträge: 6028

#11 Wie ist es jezt mit deine Tastatur?

Start>Ausführen> type:regedit >Ok
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Security]
win32.exe entfernen

SystemwiederherstellungArbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren

Edit
http://www.symantec.com/security_response/writeup.jsp?docid=2005-081910-3934-99&tabid=1
__________
MfG Argus

24.06.2007, 12:45

treasure

...neu hier

Themenstarter

Beiträge: 8

#12 Habe deine Schritte befolgt,aber leider funktioniert es immernoch nicht mit der tastatur...handelt es sich bei mir um diesen trojaner?
wie werd ich den nun los? cO

24.06.2007, 13:13

raman

Moderator

Beiträge: 7805

#13 Hast du zufaellig eine Funktastatur, wenn ja dann bitte Sender testen und Batterie wechseln. Im Zweifelsfalle noch ein Datfind Report erstellen. Sowie ein neues Hijackthis log
__________
MfG Ralf
SEO-Spam Hunter

24.06.2007, 14:26

treasure

...neu hier

Themenstarter

Beiträge: 8

#14 habe eine kabel-tastatur...hier sind die datfindlogs:
http://rapidshare.com/files/39055428/datfind.zip

und hier der neue hijackthis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:26:43, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampp\apache\bin\apache.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\private_server\MySQL\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Michael\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - C:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Apache2.2 - Unknown owner - C:\Dokumente und Einstellungen\Michael\Eigene Dateien\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySQL - Unknown owner - C:\Dokumente.exe (file missing)

24.06.2007, 14:54

raman

Moderator

Beiträge: 7805

#15 Bis auf Resteintraege sehe ich nicht. Ich wuerde die Tastatur nochmal auf einem anderen Rechner testen.
__________
MfG Ralf
SEO-Spam Hunter

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2