Home » Viren, Trojaner & Malware Forum » Desktop Hintergrund "Warning! Spyware detected on..." lässt sich nicht entfernen » Themenansicht
Desktop Hintergrund "Warning! Spyware detected on..." lässt sich nicht entfernen |
||
|---|---|---|
| #0
| ||
|
02.08.2008, 10:43
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
02.08.2008, 11:58
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo anti-spy
« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. Zitat O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe«« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" «« wende smitfraudfix an - Option 1 , dann Option 2 (zur Reinigung) http://virus-protect.org/artikel/tools/smitfrautfix.html Der Hintergrund wird nun MS-Blau sein  « scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html « wende combofix an , warnmeldung wegklicken + poste hier den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.08.2008, 16:45
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Sabina
Herzlichen Dank für die schnelle und professionelle Hilfe! Scheint alles wieder roger in Kambodscha zu sein. Hier der Malwarebytes-report: Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1015 Windows 5.1.2600 Service Pack 2 15:57:35 02.08.2008 mbam-log-8-2-2008 (15-57-35).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 122396 Laufzeit: 1 hour(s), 36 minute(s), 14 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\[Name]\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\[Name]\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\[Name]\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. ------------------------------------------------------------------------------ Hier der combofix-report: ComboFix 08-08-01.04 - [Name] 2008-08-02 16:04:36.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.160 [GMT 2:00] ausgeführt von:: E:\anti spyware\combofix\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\lsprst7.dll C:\WINDOWS\system32\ssprs.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-07-02 bis 2008-08-02 )))))))))))))))))))))))))))))) . 2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]Anwendungsdaten\Malwarebytes 2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-02 14:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-02 14:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-02 13:39 . 2008-08-02 13:52 2,814 --a------ C:\WINDOWS\system32\tmp.reg 2008-08-02 01:32 . 2008-08-02 01:32 <DIR> d-------- C:\Programme\Lavasoft 2008-08-02 01:32 . 2008-08-02 01:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-08-02 01:31 . 2008-08-02 01:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-08-02 01:05 . 2008-08-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]\Phone Browser 2008-08-02 01:05 . 2008-08-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]\Phone Browser 2008-08-01 23:35 . 2008-08-01 23:35 <DIR> d-------- C:\Programme\CleanUp! 2008-07-16 17:14 . 2008-08-02 16:10 2,263,072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-07-16 17:14 . 2008-08-02 13:47 26,876 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-07-16 17:10 . 2008-07-16 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-01 17:54 2,115,072 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2008-08-01 15:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll 2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll 2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll 2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll 2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2008-06-29 10:28 --------- d-----w C:\Programme\Nokia 2008-06-29 08:40 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\PC Suite 2008-06-29 07:02 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\PC Suite 2008-06-29 07:02 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\Nokia Multimedia Player 2008-06-29 07:01 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\Nokia 2008-06-29 06:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite 2008-06-29 06:45 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite 2008-06-29 06:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia 2008-06-29 06:44 --------- d-----w C:\Programme\PC Connectivity Solution 2008-06-29 06:44 --------- d-----w C:\Programme\DIFX 2008-06-29 06:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations 2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-25 14:14 78,584 ----a-w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe 2008-05-11 09:31 129,784 ------w C:\WINDOWS\system32\pxafs.dll 2008-05-11 09:31 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe 2008-05-11 09:31 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-21 15:08 25,600 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermptxp.sys 2007-10-21 15:08 25,600 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermptxp.sys 2007-10-21 15:08 22,768 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermpt.sys 2007-10-21 15:08 22,768 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermpt.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-22 21:15 344064] "PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-08-19 09:11 163840] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:57 266497] "EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 21:00 98304] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016] "SoundMan"="SOUNDMAN.EXE" [2005-08-01 08:28 77824 C:\WINDOWS\SOUNDMAN.EXE] "SMSERIAL"="sm56hlpr.exe" [2005-08-01 08:28 544768 C:\WINDOWS\sm56hlpr.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-11-11 09:53:13 49254] Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-09-29 12:15:47 110592] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:30] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 07:57] R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-08-01 08:29] S2 PIEUsb;Single Frame Film Scanner;C:\WINDOWS\system32\Drivers\usbscan.sys [2004-08-03 23:58] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 *Newly Created Service* - WINIO . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-Yahoo! Pager - C:\Programme\Yahoo!\Messenger\ypager.exe HKLM-Explorer_Run-3BsbJR1jSF - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnifmlax\yjsfmtcd.exe . ------- Zusätzlicher Scan ------- . R0 -: HKCU-Main,Start Page = https://login.yahoo.com/config/mail?.intl=de R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://smartsurfer.web.de/client/redirect/?version=3.1.1 O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 -: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab C:\WINDOWS\Downloaded Program Files\CONFLICT.1\IPSUploader.inf C:\WINDOWS\system32\unicows.dll C:\WINDOWS\Downloaded Program Files\CONFLICT.1\IPSUploader.ocx O16 -: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} - hxxp://www.photo-dose.de/Upload/PhotoDoseUploadX.cab C:\WINDOWS\Downloaded Program Files\MoreUploadX.ocx O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://ips.poi.de/ips-opdata/95434711/activex/IPSUploader.cab C:\WINDOWS\Downloaded Program Files\IPSUploader.inf C:\WINDOWS\system32\unicows.dll C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-02 16:10:55 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-02 16:13:59 ComboFix-quarantined-files.txt 2008-08-02 14:13:52 Pre-Run: 19 Verzeichnis(se), 14,391,988,224 Bytes frei Post-Run: 22 Verzeichnis(se), 15,011,028,992 Bytes frei 144 --- E O F --- 2008-07-11 06:24:22 |
|
|
|
|
|
|
02.08.2008, 16:51
Ehrenmitglied
Beiträge: 29434 |
#4
sehr chic
ich finde auch nichts mehr, wenn es noch Probs geben sollte, melde dich. p.s: Registry: [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 - in 0 ändern __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
17.08.2008, 21:51
...neu hier
Beiträge: 2 |
#5
Hallo, ich habe im Prinzip dasselbe Problem.
Bei mir hat das heute angefangen und bisher hat es auch noch keien direkten negativen Einflüsse gegeben. Luke Filewalker hat mir bloß die Warnung vor mehreren Trofanern gegebn und eineige Dateien als gefährlich eingestuft. Die habe ich gelöscht, aber habe keine Probleme mit dem Start von Windows bekommen. Das einzige ist, dass ichdiesen Hintergrund nicht ändern kann, weil mir die Systemsteuerung keine Möglichkeit gibt auf das Hintergundbild und den screensaver zuzugreifen. Habe antivir laufen lassen udn jetzt Hijackthis, kann nur mit der Auswertung von HiJackThis nix anfangen: der Logfile sieht so aus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:50:52, on 17.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\KEN!\KENCLI.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\KEN!\kentbcli.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_05\bin\jucheck.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\PROGRA~1\iLinc\Client77\bin\llpush.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\lphcjvkj0eef9.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\mozilla.org\Mozilla\Mozilla.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Veoh Networks\Veoh\VeohClient.exe C:\PROGRA~1\MI3AA1~1\wcescomm.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\MLT1100\sp532.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\cidaemon.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.111.10:3128;http=192.168.111.10:3128;https=192.168.111.10:3128;socks=192.168.111.10:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe" -nag O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [LLPush] C:\PROGRA~1\iLinc\Client77\bin\llpush.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [lphcjvkj0eef9] C:\WINDOWS\system32\lphcjvkj0eef9.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe" O4 - HKCU\..\RunOnce: [SWHelper] "C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe" 1011016 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MLT PageWorks Pro 1100 Drucker-Tools.lnk = C:\Programme\MLT1100\sp532.exe O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: TK-Suite Client.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.111.10:3128/ken2000.html O15 - Trusted Zone: http://*.netucate.net O16 - DPF: {03A89EFD-E023-7700-A22D-45F77558EB4C} (ILINCInstall77 Class) - https://cs2.netucate.net/Campus/download/ilinci77.dll O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136931549671 O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe -- End of file - 10957 bytes Ich hoffe, dass mir irgendjemand helfen kann. Gruss Andreas |
|
|
|
|
|
|
17.08.2008, 23:29
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo herrbaer
1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. Zitat F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,2. Avenger http://virus-protect.org/artikel/tools/avenger.html setze nur ein Häkchen in: "Automatically disable any rootkits found" Das Häkchen "Scan for Rootkits" sollte angehakt sein. kopiere in das weisse Feld: Zitat Files to delete:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke: Execute bestätige, dass der Rechner neu gestartet wird - klicke "yes" 3. sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag 4. lade combofix, Warnmeldung wegklicken + poste den report http://virus-protect.org/artikel/tools/combofix.html -------- wir werden diese Verseuchung hier abarbeiten , falls du sensible Daten auf dem rechner hast - formatiere sofort , nicht reinigen + ändere alle Passworte http://virus-protect.org/artikel/spyware/wsnpoem-remove.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.08.2008, 00:49
...neu hier
Beiträge: 2 |
#7
Super!
Danke! Das sieht ja wieder so aus wie vorher. Erstmal die reports: SDFix: SDFix: Version 1.216 Run by Chef on 18.08.2008 at 00:29 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Restoring Default Desktop Wallpaper Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\SYSTEM32\PHCJVK~1.BMP - Deleted C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt10.tmp - Deleted C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt3.tmp - Deleted C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt9.tmp - Deleted C:\WINDOWS\system32\a.exe - Deleted Folder C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.redtube.com - Removed Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 00:35:37 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s0"=dword:e611f802 "s1"=dword:3749f635 "s2"=dword:2fe14b57 "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "h0"=dword:00000000 "khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\KEN!\\kentbcli.exe"="C:\\Programme\\KEN!\\kentbcli.exe:*:Enabled:kentbcli" "C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server" "C:\\Programme\\ViaVoice\\Bin\\engine.exe"="C:\\Programme\\ViaVoice\\Bin\\engine.exe:*:Enabled:IBM ViaVoice © Speech Recognition" "C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE"="C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE:*:Enabled:Microsoft Word" "C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe"="C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe:*:Enabled:Fachvokabularverwaltung" "C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"="C:\\Programme\\ViaVoice\\Bin\\speechbar.exe:*:Enabled:speechbar" "C:\\Programme\\ViaVoice\\Bin\\smart.exe"="C:\\Programme\\ViaVoice\\Bin\\smart.exe:*:Enabled:smart" "C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"="C:\\Programme\\ViaVoice\\Bin\\navcentral.exe:*:Enabled:navcentral" "C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"="C:\\Programme\\ViaVoice\\Bin\\userwiz.exe:*:Enabled:userwiz" "C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"="C:\\Programme\\ViaVoice\\Bin\\ewiz.exe:*:Enabled:ewiz" "C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"="C:\\Programme\\ViaVoice\\Bin\\recowizard.exe:*:Enabled:recowizard" "C:\\Programme\\ViaVoice\\Bin\\options.exe"="C:\\Programme\\ViaVoice\\Bin\\options.exe:*:Enabled:options" "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client" "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger" "C:\\Programme\\BitZip\\bitzip.exe"="C:\\Programme\\BitZip\\bitzip.exe:*:Enabled:bitzip" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager" "C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager" "C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sun 12 Mar 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak" Finished! Hier der report von combofix: ComboFix 08-08-17.03 - Chef 2008-08-18 0:42:55.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.199 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Chef\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\2U9S7WNY\www.inter-focus.cn C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn C:\Dokumente und Einstellungen\Chef\UserData C:\Dokumente und Einstellungen\Chef\UserData\1JJVTP8E\oWindowsUpdate[1].xml C:\Dokumente und Einstellungen\Chef\UserData\FEOFJTWT\exeITSJSNsess[1].xml C:\Dokumente und Einstellungen\Chef\UserData\index.dat C:\Dokumente und Einstellungen\Chef\UserData\QDXMN6T0\exeITSJSNsess[1].xml . ((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 )))))))))))))))))))))))))))))) . 2008-08-18 00:28 . 2008-08-18 00:28 578,560 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-08-18 00:25 . 2008-08-18 00:25 <DIR> d-------- C:\WINDOWS\ERUNT 2008-08-17 23:06 . 2008-08-17 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien 2008-08-17 22:48 . 2008-08-17 22:49 <DIR> d-------- C:\Programme\CleanUp! 2008-08-17 21:40 . 2008-08-17 21:40 <DIR> d-------- C:\Programme\Trend Micro 2008-08-17 20:43 . 2008-08-17 20:43 <DIR> d-------- C:\Programme\SpywareBlaster 2008-08-17 20:43 . 2008-08-17 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-08-15 21:15 . 2008-08-18 00:38 <DIR> d-------- C:\SDFix 2008-07-29 19:23 . 2008-07-29 19:23 <DIR> d-------- C:\Programme\Apple Software Update 2008-07-22 14:33 . 2008-08-18 00:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-22 14:33 . 2008-07-22 14:33 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-17 22:39 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\OpenOffice.org2 2008-08-17 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-07-11 23:25 --------- d-----w C:\Programme\Schmerzensgeld CD 2007-10-30 19:29 2,293,712 ----a-w C:\Programme\FLV PlayerFCSetup.exe 2002-07-22 10:05 557,328 ----a-w C:\Programme\Gemeinsame Dateien\dao360.dll 2001-11-22 13:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360] "NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 15:16 49152] "Mozilla Quick Launch"="C:\Programme\mozilla.org\Mozilla\Mozilla.exe" [2004-06-16 11:18 100752] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584] "Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-06-07 14:08 4670968] "Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120] "H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 01:00 1211176] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "SWHelper"="C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe" [2007-12-14 16:14 53248] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560] "NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648] "EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 10:50 28672] "KEN Taskbar Client"="C:\Programme\KEN!\kentbcli.exe" [2005-03-07 14:32 167936] "SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 23:05 32881] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-02-23 21:17 180269] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497] "ScheduleSync.Siemens.SmartSync.5.2.exe"="C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe" [2004-08-27 14:17 45056] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 11:09 63712] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048] "nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\Chef\Startmen\Programme\Autostart\ OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308] Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-01-27 15:15:53 169472] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360] MLT PageWorks Pro 1100 Drucker-Tools.lnk - C:\Programme\MLT1100\sp532.exe [2005-06-30 18:36:45 1048576] raid_tool.exe.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2004-01-26 16:45:11 561152] TK-Suite Client.lnk - C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe [2005-06-29 14:24:12 1515520] WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2004-07-26 00:43:04 118784] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\KEN!\\kentbcli.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"= "C:\\Programme\\ViaVoice\\Bin\\engine.exe"= "C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE"= "C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe"= "C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"= "C:\\Programme\\ViaVoice\\Bin\\smart.exe"= "C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"= "C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"= "C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"= "C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"= "C:\\Programme\\ViaVoice\\Bin\\options.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5100:TCP"= 5100:TCP:yahoo webcam "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11] R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-08-05 08:14] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-09 13:15] R2 KEN Client Service;AVM KEN Klient;C:\Programme\KEN!\KENCLI.EXE [2005-03-07 14:28] R2 ndc;AVM KEN CAPI;C:\WINDOWS\system32\Drivers\ndc.sys [2002-08-21 05:58] S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2004-07-08 11:40] *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners 2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe HKLM-Run-NI.UERSU_9999_N91S2009 - C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe HKLM-Run-Cmaudio - cmicnfg.cpl . ------- Zusätzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\5ct37dcu.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://192.168.111.10:3128/ken2000.html ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-18 00:45:38 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-08-18 0:47:54 ComboFix-quarantined-files.txt 2008-08-17 22:47:11 Pre-Run: 29 Verzeichnis(se), 51,231,748,096 Bytes frei Post-Run: 32 Verzeichnis(se), 51,532,627,968 Bytes frei 141 Man...ich könnte vor lauter Freude hier Blumensträuße verschicken. danke für die schnelle und verständliche professiopnelle Hilfe! Gruß Herrbaer |
|
|
|
|
|
|
18.08.2008, 10:38
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo herrbaer
1. ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 2. entferne auch alles vom Avenger 3. C:\SDFix\backups - löschen 4.. scanne mit Malwarebytes (Tiefenscan im abgesicherten Modus) ´poste hier den report http://virus-protect.org/artikel/tools/malwarebytes.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.08.2008, 10:22
...neu hier
Beiträge: 2 |
#9
Hi, ich hab am Laptop meiner Freundin auch das Problem und hab ihr versprochen mich drum zu kümmern. Leider hab ich keine ahnung was ich mit Hijackthis löschen muss, wär super wenn ihr mir auch helfen könntet.
Hier die Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:43:06, on 20.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\lphc78kj0endv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Launchy\Launchy.exe C:\Programme\Olympus\DeviceDetector\DM1Service.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe D:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.live.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi-sued.de/fotoservice/index.html O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0311.0\msneshellx.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0311.0\msneshellx.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [lphc78kj0endv] C:\WINDOWS\system32\lphc78kj0endv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide O4 - HKCU\..\Run: [DW6] "C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: Directrec Configuration Tool.lnk = C:\Programme\Olympus\DeviceDetector\DirectrecConfig.exe O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152203635296 O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDF3798-2738-401D-B84F-0D79938A07B9}: NameServer = 192.168.66.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{1CDF3798-2738-401D-B84F-0D79938A07B9}: NameServer = 192.168.66.254 O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DM1Service - OLYMPUS IMAGING CORP. - C:\Programme\Olympus\DeviceDetector\DM1Service.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Desktop Manager 5.6.711.24354 (GoogleDesktopManager-112407-114954) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 12229 bytes |
|
|
|
|
|
|
20.08.2008, 12:17
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo Domian
1. wende cleaner an + lösche alle temporären Dateien http://www.ccleaner.de/?protecus.de 2. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. Zitat O4 - HKLM\..\Run: [lphc78kj0endv] C:\WINDOWS\system32\lphc78kj0endv.exe3. lösche: C:\WINDOWS\system32\lphc78kj0endv.exe 4. scanne mit Malwarebytes, lasse alles löschen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html 5. wende combofix an + poste den report hier http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.08.2008, 15:41
...neu hier
Beiträge: 2 |
#11
Super, danke, danke, danke! Läuft scheinbar alles wieder virenfrei.
Leider hat sich die Festplatte an meinem PC scheinbar für immer verabschiedet, deshalb hatts leider sehr lange gedauert. Hier noch die Logfile von combofix: ComboFix 08-08-18.05 - Sonnie 2008-08-20 15:14:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.116 [GMT 2:00] ausgeführt von:: F:\Sonnie special\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Administrator\UserData C:\Dokumente und Einstellungen\Administrator\UserData\index.dat C:\Dokumente und Einstellungen\Administrator\UserData\UDQ34ZID\oWindowsUpdate[1].xml C:\Dokumente und Einstellungen\Default User\UserData C:\Dokumente und Einstellungen\Default User\UserData\index.dat C:\Dokumente und Einstellungen\Default User\UserData\UDQ34ZID\oWindowsUpdate[1].xml C:\Dokumente und Einstellungen\Sonnie\UserData C:\Dokumente und Einstellungen\Sonnie\UserData\index.dat C:\Dokumente und Einstellungen\Sonnie\UserData\UDQ34ZID\oWindowsUpdate[1].xml C:\WINDOWS\system32\config\systemprofile\UserData C:\WINDOWS\system32\config\systemprofile\UserData\index.dat C:\WINDOWS\system32\config\systemprofile\UserData\UDQ34ZID\oWindowsUpdate[1].xml . ((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 )))))))))))))))))))))))))))))) . 2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Malwarebytes 2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-08-20 13:22 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-20 13:22 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-20 12:59 . 2008-08-20 12:59 <DIR> d-------- C:\Programme\CCleaner 2008-08-20 11:54 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-08-20 11:53 . 2008-08-20 11:53 <DIR> d-------- C:\Programme\Panda Security 2008-08-13 23:54 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-04 20:15 . 2008-08-04 20:15 <DIR> d-------- C:\My Videos 2008-07-21 12:16 . 2008-07-21 12:16 <DIR> d-------- C:\Programme\Microsoft Silverlight . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-20 13:12 --------- d-----w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Launchy 2008-08-19 21:21 --------- d-----w C:\Programme\Trillian 2008-08-19 20:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-07-24 20:48 --------- d-----w C:\Programme\BitTorrent 2008-07-12 21:36 --------- d-----w C:\Programme\Java 2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-23 16:14 672,768 ----a-w C:\WINDOWS\system32\wininet.dll 2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-06-20 16:54 --------- d-----w C:\Programme\ABBYY FineReader 6.0 Sprint 2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 15:05 70,376 ----a-w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-09-13 10:49 0 ----a-w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\wklnhst.dat 2006-07-07 07:13 8 --sh--r C:\WINDOWS\system32\B63ACF7CE3.sys 2006-07-07 07:13 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00 15360] "AOLMIcon"="C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [2006-05-16 13:46 699392] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 15:58 94208] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 21:38 68856] "Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2007-09-12 19:33 2560000] "DW6"="C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe" [2008-06-10 16:18 785520] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 11:09 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 11:06 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 11:10 114688] "AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648] "LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768] "HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-07-17 10:48 65536] "CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480] "LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800] "Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 19:02 86016] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 14:06 798810] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 23:06 266497] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-28 23:20 6731312] "HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe" [2006-11-17 15:16 50736] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-14 23:43 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048] "Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-07-11 20:13 29744] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-11 20:51 185896] "SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe] "SMSERIAL"="sm56hlpr.exe" [2005-09-16 21:01 557056 C:\WINDOWS\sm56hlpr.exe] "RTHDCPL"="RTHDCPL.EXE" [2006-07-06 21:00 16251904 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles "InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "msacm.mpegacm"= mpegacm.acm "msacm.ulmp3acm"= ulmp3acm.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\system32\\sessmgr.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\AOL 9.0\\AOL.exe"= "C:\\Programme\\AOL 9.0\\WAOL.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"= "C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"= "C:\\WINDOWS\\system32\\fxsclnt.exe"= "C:\\Programme\\NetMeeting\\Conf.exe"= "C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"= "C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"= "C:\\Dokumente und Einstellungen\\Sonnie\\Eigene Dateien\\Miranda IM\\miranda32.exe"= "C:\\Programme\\BitTorrent\\bittorrent.exe"= "C:\\Programme\\Gemeinsame Dateien\\aol\\1177098581\\ee\\aolsoftware.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "C:\\Dokumente und Einstellungen\\Sonnie\\Eigene Dateien\\Miranda IM Sonnie\\miranda32.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\Trillian\\trillian.exe"= "C:\\Programme\\Mozilla Firefox\\firefox.exe"= "C:\\Program Files\\WS_FTP\\WS_FTP95.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8371:TCP"= 8371:TCP:Client Tcp Port "8371:UDP"= 8371:UDP:Client Udp Port R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24] R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27] S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys [] S3 GoogleDesktopManager-112407-114954;Google Desktop Manager 5.6.711.24354;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2007-07-11 20:13] S3 PinnacleMicroTV;Pinnacle Systems MicroTV Device;C:\WINDOWS\system32\DRIVERS\MicroTV.sys [2006-04-19 10:57] S3 uxddrv;Dynamically loaded UxdDrv;e:\Diagnose\Wstpro\uxddrv.sys [] . Inhalt des "geplante Tasks" Ordners 2007-08-04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57] . - - - - Entfernte verwaiste Registrierungseintr„ge - - - - WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file) HKCU-Run-DW4 - (no file) HKLM-Run-NWEReboot - (no file) . ------- Zus„tzlicher Scan ------- . FireFox -: Profile - C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Mozilla\Firefox\Profiles\gf10tzhy.default\ FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-20 15:22:58 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Weitere, laufende Prozesse ------------------------ . C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Olympus\DeviceDetector\DM1Service.exe C:\WINDOWS\ehome\ehrecvr.exe C:\WINDOWS\ehome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehmsas.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\Launchy\Launchy.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\Programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-08-20 15:33:16 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2008-08-20 13:33:02 Pre-Run: 5,126,701,056 Bytes frei Post-Run: 7,344,574,464 Bytes frei 193 --- E O F --- 2008-08-13 22:03:51 |
|
|
|
|
|
|
20.08.2008, 19:12
...neu hier
Beiträge: 5 |
#12
Hallo!
Habe dasselbe Problem wie meine Vorredner! Blauer Hintergrund mit dem Gelb-Blauen Kästchen und dem Hinweis "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer." Ich weiß ehrlichgesagt GAR NICHT was zu tun ist, ich denke mal das ihr so ein Hijack-Log-Dings-Da braucht ?!?!? Danke schonmal vielmals im Vorraus!!! HIER DAS HIJACK LOGFILE: Code Logfile of Trend Micro HijackThis v2.0.2Und was muss ich jetzt tun?!? :-) Danke nochmals!!! |
|
|
|
|
|
|
21.08.2008, 00:02
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo Domian
ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" wenn es noch Probleme gibt - melde dich __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.08.2008, 00:05
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo Andrikos
«« wende cleaner an + lösche alle temporären Dateien http://www.ccleaner.de/?protecus.de «« mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις -> fixe das nur, falls du nicht weisst, was es ist.... - für mich ist es "Griechisch"«« scanne mit Malwarebytes, lasse alles löschen, was gefunden wird http://virus-protect.org/artikel/tools/malwarebytes.html «« wende combofix an + poste den report hier http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.08.2008, 15:34
...neu hier
Beiträge: 5 |
#15
Hallo Sabina,
danke für die schnelle Hilfe... Hab alles ausgeführt, wie oben beschrieben, wahrscheinlich muss ich nun combofix entfernen mit "ausführen" combofix/U oder? HIER DER COMBOFIX REPORT: Code ComboFix 08-08-19.06 - STAYROS 2008-08-21 16:15:36.1 - [color=red][b]FAT32[/b][/color]x86 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe seit gestern Nachmittag wie einige andere vor mir das Problem, dass mein Desktop Hintergrund jetzt blau ist mit dem typisch gelb-blauen Kästchen "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer."
Aktuelles AntiVir (freeware) und ZoneAlarm (freeware) waren installiert.
Es versuchten ab gestern dann 3 Programme auf das Internet zuzugreifen, was ich mit ZoneAlarm verhinderte:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnifmlax\yjsfmtcd.exe
C:\WINDOWS\system32\kjelyfaf.exe
C:\WINDOWS\system32\lphcjhvj0eaee.exe
Alle 3 Dateien von 1.8.2008 um 16:38.
Habe den Luke Filewalker von Antivir laufen lassen, welcher dann zu einem kompletten Systemabsturz führte und einem Rechner, der immer wieder bootete, es nicht schaffte und es immer wieder neu versuchte.
Ganz ausschalten führte dann zum Booten, aber AntiVir hat dann gegen Ende des Bootens eine Datei bemängelt (MalWare, irgendwas mit vbs oder so), deren Zugriff verweigert, Windows hat dann das Fehlen der Datei bemängelt, das Booten dauert insgesamt lange und die Dateien versuchten wieder, auf das Internet zuzugreifen.
Habe dann in diesem schönen Forum gestöbert und den Cleaner so laufen lassen wie hier geschildert:
http://virus-protect.org/cleanup.html
HijackThis und datfindbat habe ich auch wie beschrieben laufen lassen.
Habe dann die 3 oben in den Bildern genannten Dateien auf einen Stick gesichert und dann von der Festplatte gelöscht.
Daraufhin beim Booten keine Antivir Fehlermeldung mehr, keine Windows Fehlermeldung, aber der Desktop Hintergrund ist noch da und das Booten erscheint mir immer noch langsamer. AntiVirs Luke Filewalker läuft durch, AdAware findet auch nichts kritisches, SpyHunter hilft auch nicht wirklich.
Jetzt meine Frage: Wie bekomme ich den Desktop Hintergrund wieder hin? Was ist sonst noch fehlerhaft?
Mit Eigenschaften-> Anzeige kann ich keinen anderen einstellen.
Hatte einen Hinweis im Forum gefunden:
gehe in die Registry
Start-->Ausfuehren--> regedit
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen
besitze aber das Verzeichnis 1 nicht und in meinem Verzeichnis 0 nicht die beiden Zeilen.
Mein HiJacklog und mein datfindbat log sehen so aus:
Logfile of HijackThis v1.99.1
Scan saved at 11:09:13, on 02.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
E:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect/?version=3.1.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131133898218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131141627218
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://www.photo-dose.de/Upload/PhotoDoseUploadX.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://ips.poi.de/ips-opdata/95434711/activex/IPSUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: chkdb - {3F993984-D995-3A87-6DD4-016AF1FDF988} - C:\Programme\ytnfn\chkdb.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
datfindbat (Der Vorfall war m.E. am 1.8.2008 um 16:38)
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18
Verzeichnis von c:\
02.08.2008 11:10 0 dirdat.txt
02.08.2008 11:02 467.914.752 hiberfil.sys
02.08.2008 11:02 704.643.072 pagefile.sys
19 Datei(en) 1.172.865.361 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18
Verzeichnis von C:\WINDOWS\system32
02.08.2008 11:04 1.158 wpa.dbl
02.08.2008 11:04 358.382 vsconfig.xml
01.08.2008 23:47 60.928 blphcjhvj0eaee.scr
01.08.2008 23:46 90.838 phcjhvj0eaee.bmp
2112 Datei(en) 478.292.894 Bytes
0 Verzeichnis(se), 14.507.843.584 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18
Verzeichnis von C:\WINDOWS
02.08.2008 11:04 0 0.log
02.08.2008 11:03 4.066 ModemLog_Motorola SM56 Data Fax
Modem.txt
02.08.2008 11:03 1.985.637 WindowsUpdate.log
02.08.2008 11:03 159 wiadebug.log
02.08.2008 11:03 50 wiaservc.log
02.08.2008 11:02 2.048 bootstat.dat
02.08.2008 11:01 32.634 SchedLgU.Txt
02.08.2008 11:01 131.106 setupapi.log
01.08.2008 23:21 12.862 EPISMG00.SWB
325 Datei(en) 34.719.996 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18
Verzeichnis von C:\DOKUME~1\BJRNFR~1\LOKALE~1\Temp
02.08.2008 11:09 173 jusched.log
1 Datei(en) 173 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei
Herzlichen Dank!!!