TR/Vundo.Gen entdeckt |
||
---|---|---|
#0
| ||
05.03.2009, 15:49
Member
Beiträge: 3716 |
||
|
||
05.03.2009, 17:28
Member
Themenstarter Beiträge: 14 |
#17
So, hier jetzt der Kaspersky scan bericht:
Donnerstag, 5. März 2009 17:06:18 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 5/03/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 1870568 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz C:\ D:\ E:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 70408 Viren gefunden 0 Infizierte Objekte gefunden 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:33:08 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\344527059\Messages.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\344527059\Owner.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\ICQ\Application.mdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\call256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\callmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chat512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmember256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg2048.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatmsg8192.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\chatsync\75\75761130c4c9a2bb.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\contactgroup256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\index2.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\profile4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\transfer256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\transfer512.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user1024.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user16384.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\user4096.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Anwendungsdaten\Skype\nagrimm\voicemail256.dbb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s4lk1awl.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\access\access.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Temp\etilqs_R3CpNEnGOEh9kBNmCTVV Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Temp\JET7E38.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Nadja Grimm\Verlauf\History.IE5\MSHist012009030520090306\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{D1E51CDE-FC59-4EA3-8439-6656359D223D}\RP3\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{BD0212C9-3DD1-4D7E-B310-D26E67DA8AD2}.crmlog Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Media Ce.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\MsDtc\MSDTC.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\msmq\storage\QMLog Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Also wie gesagt, von der funktionalität her scheint auf dem laptop wieder alles in Ordnung, vielen Dank nochmal für die klasse Hilfe. Was meinen PC betrifft, wie schätze ich denn am Besten ab, ob eine Neuinstallation notwendig ist? |
|
|
||
05.03.2009, 17:57
Member
Beiträge: 3716 |
#18
ok jetzt kommen wir zum schluss, also programme entrümpeln und updaten.
öffne CCleaner, extras liste der instalierten programme. deinstalieren: Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Reader 8.1.2 - Deutsch neueste version: www.adobe.com/de/products/reader/ - 32k - J2SE Runtime Environment 5.0 Update 6 das reinigungstool hierfür laden: www.heise.de/software/download/javara/56676 - 77k - neueste version von java laden: (jre 6 update 12 www.java.com/de/download/manual.jsp - Macromedia Flash Player 8 ersetzen durch: www.adobe.com/de/products/flashplayer/ - 31k - Microsoft .NET Framework 1.0 Hotfix (KB887998) Microsoft .NET Framework 1.0 Hotfix (KB930494) Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 German Language Pack Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Packwww.chip.de/downloads/Microsoft-.NET-Framework_20894571.html - 85k - und servicepack 1: www.computerbase.de/downloads/software/betriebssysteme/microsoft_net_framework/ - 28k - Skype 3.0 www.skype.com/intl/de/ - 9k - VideoLAN VLC media player 0.8.6 www.chip.de/downloads/VLC-media-player_13005928.html - 111k - unnötig: Bonjour besuche die windows update-seite, spiele alle wichtigen updates ein, auch internetexplorer 7. Selbst wenn du den nicht verwendest, müssen alle systemkompunenten aktuell sein! windows updates kommen jeden 2 dienstag im Monat raus, und sollten zeitnahe eingespielt werden! Dein antivirenprogramm for dem ersten Gang ins INternet updaten. Die restliche Software ein mal pro Monat prüfen hiermit z.B.: www.pcwelt.de/downloads/datenschutz/sicherheit/88366/secunia_personal_software_inspector_psi/ - 54k - Auch solltest du das Administratorkonto nur verwenden, wenn es sich nicht vermeiden lässt! Sonst erstelle ein gastkonto für die tägliche Arbeit! Arbeitsplatz, systemsteuerung benutzerkonten, dort ein neues eingeschrenktes Konto erstellen. Nun entfernen wir noch programmreste von den reinigungsprogrammen: http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe Schliesse alle Fenster Doppelklick: OTCleanIt Klicke: CleanUp Wenn gefragt wird "Do you want to reboot now?" - klicke "Yes" Der Rechner wird neu gestartet öffne den CCleaner lasse ihn noch mal dein system bereinigen. Wähle auch die fehlerbehebung, dies löscht fehler in der Registry, diesen schritt musst du so oft ausfüren, bis nichts mehr gefunden wird. Nun rechtsklick auf arbeitsplatz, eigenschaften, Systemwiederherstellung, wähle auf allen laufwerken deaktiviren aus. Warte 5 min und schalte sie wieder ein. öffne hijackthis klicke scan hake an: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) falls kein proxy verwendet wird auch anhaken: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local autostart aufräumen, diese programme starten unnötigerweise und können per hand gestartet werden: O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDFBackend.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe drücke fix cheked. zum schluss kannst du ja ncoh mal ein letztes hijackthis-log posten. |
|
|
||
05.03.2009, 21:48
Member
Beiträge: 3716 |
||
|
||
05.03.2009, 22:05
Member
Themenstarter Beiträge: 14 |
#20
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 05.03.2009 22:03:34 for strings: ; 'aydgdi32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... So, hab versucht alles so auszuführen wie beschrieben, hier das neue hjt-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:43:24, on 05.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\mqsvc.exe C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe C:\WINDOWS\system32\mqtgsvc.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\fritzbox-usb-fernanschluss.exe C:\Programme\Secunia\PSI\psi.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AVMUSBFernanschluss] C:\Dokumente und Einstellungen\Nadja Grimm\Lokale Einstellungen\Apps\2.0\M89XAAM4.44Y\3772N98R.P12\frit..tion_f8d772dfbb3f7453_0002.0001_0db5bf149dd7a141\AVMAutoStart.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: E-Mail.lnk = ? O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=64&bd=pavilion&pf=laptop O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Cisco Systems, Inc. Installer service (CiscoVpnInstallService) - Unknown owner - C:\DOKUME~1\NADJAG~1\LOKALE~1\Temp\CISCOV~1\INSTAL~1.EXE (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Microsoft .NET Framework v1.1.4322 Update (NetFxUpdate_v1.1.4322) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 8567 bytes Dieser Beitrag wurde am 05.03.2009 um 23:45 Uhr von waxi editiert.
|
|
|
||
06.03.2009, 11:17
Member
Beiträge: 3716 |
#21
du hast aber nicht das richtige gesucht, kopiere einfach ab:
aYdGDI32 nimm auch mal die windows suche und suche nach: aYdGDI32.dll bei suchoptionen auch versteckte dateien mit durchsuchen. |
|
|
||
06.03.2009, 11:48
Member
Themenstarter Beiträge: 14 |
#22
Habs abkopiert, (glaube auch schon beim ersten Versuch), hier der report:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.6.0 ; Results at 06.03.2009 11:41:15 for strings: ; 'aydgdi32' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-1143522859-2545341817-1875214237-1005\Software\Microsoft\Search Assistant\ACMru\5603] "000"="aYdGDI32.dll" ; End Of The Log... Hab ich das richtige Programm benutzt? Windows suche bringt keine ergebnisse. |
|
|
||
06.03.2009, 12:04
Member
Beiträge: 3716 |
#23
ok jetzt war es richtig.
|
|
|
||
06.03.2009, 12:09
Member
Beiträge: 3716 |
#24
hallo, ich bin mir nicht sicher, ob dieses file bei dir existiert:
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein files to delete: c:\windows\system32\aYdGDI32.dll wenn der avenger das file findet, maile es mir wieder zu. melde dich auf jeden fall noch mal hier, wir müssen noch 2 registry schlüssel löschen. dann bist du befreid ;-) |
|
|
||
06.03.2009, 12:12
Member
Themenstarter Beiträge: 14 |
#25
Gut,wie siehts es denn aus? Alles wieder in Ordung?
Und noch ne Frage zu den Benutzerkonten: Du hattest mir ja empfohlen, ein neues Konto mit eingeschränkten Rechten für die tägliche Arbeit zu erstellen. Kann ich auch einfach das neue Konto als Admin-Konto erstellen und das jetzige (bisher einzige) Konto mit eingeschränkten Rechten nutzen? Dieser Beitrag wurde am 06.03.2009 um 12:21 Uhr von waxi editiert.
|
|
|
||
06.03.2009, 12:20
Member
Beiträge: 3716 |
#26
ja das kannst du auch machen. ich will halt nur gucken ob du ncoh die eine datei hast, dann noch 2 kleinigkeiten (regschlüssel löschen nichts was deinen pc momentan noch in gefahr bringt) dann sind wir fertig
|
|
|
||
06.03.2009, 12:21
Member
Themenstarter Beiträge: 14 |
#27
Also avenger hat es scheinbar nicht gefunden:
Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "c:\windows\system32\aYdGDI32.dll" not found! Deletion of file "c:\windows\system32\aYdGDI32.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. |
|
|
||
06.03.2009, 12:32
Member
Beiträge: 3716 |
#28
start ausfüren regedit. dann gehe auf datei exportieren und wähle einen ort, wo du deine registry hinexportieren kannst, falls etwas schif läuft
navigiere zu: [HKEY_USERS\S-1-5-21-1143522859-2545341817-1875214237-1005\Software\Microsoft\Search Assistant\ACMru\ und lösche 5603] und: 5604] jetzt wieder schließen. nun sind wir fertig ;-) |
|
|
||
06.03.2009, 12:41
Member
Themenstarter Beiträge: 14 |
#29
OK, hab ich gemacht, das avenger backup kann ich löschen oder?
Was ist mit en ganzen Programmen die ich hierfür runtergeladen hab (HijackThis, Malwarebytes, CCleaner, Regsearch, Avenger) - was davon sollte ich behalten, was wieder löschen? also nochmal, vielen vielen Dank; werd mir hier im Forum sicherlich noch die ein oder anderen Sicherheitstips holen, damit ich mir sowas in Zukunft ersparen kann Werd morgen das Betriebssystem auf meinem anderen PC neu installieren und zusehen, dass ich da in Zukunft mehr Wert auf die Sicherheit lege ... Thanks! |
|
|
||
06.03.2009, 12:47
Member
Beiträge: 3716 |
#30
da ja nichts mit dem avenger gelöscht wurde heute, und du nur das backup hast, dass ich schon habe, lösche sammt backup den avenger. ccleaner malwareBytes würde ich behalten
|
|
|
||
so viel von dem link umsetzen wie möglich