startseite lässt sich nicht ändern |
||
---|---|---|
#0
| ||
15.01.2005, 15:45
Ehrenmitglied
Beiträge: 29434 |
||
|
||
15.01.2005, 21:32
...neu hier
Beiträge: 2 |
#62
Hallo vieleicht könnt ihr mir ja auch helfen
Logfile of HijackThis v1.99.0 Scan saved at 21:27:59, on 15.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\iexplore.exe D:\My Stuff\Downloads\hijackthis\HijackThis.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {A281309D-4202-4C6C-9676-2EBFA6D889E4} - C:\WINDOWS\system32\dlcl.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKCU\..\Run: [RDBirthdayReminder] "c:\programme\rd birthday reminder\birthday.exe" /autostart O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - Startup: PowerReg SchedulerV2.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = C:\Programme\Quicken2004\billmind.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Descarregas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-kazemule-de\local.html (file missing) O15 - Trusted Zone: http://www.dolomitisuperski.com O15 - Trusted Zone: http://www.technovideo24select-de.guyaonline.com O15 - Trusted Zone: http://www.toxoholics.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093851331234 O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D6ECB91C-0515-42F3-BC9B-696DD08F62C6}: NameServer = 217.237.151.97 217.237.150.33 O18 - Filter: text/html - {0ACE5F2A-85D9-4E93-B8D0-BF5A7A11F5FE} - C:\WINDOWS\system32\dlcl.dll O18 - Filter: text/plain - {0ACE5F2A-85D9-4E93-B8D0-BF5A7A11F5FE} - C:\WINDOWS\system32\dlcl.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe O23 - Service: Intel(R) Active Monitor - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Mfg JAYL |
|
|
||
15.01.2005, 23:56
Ehrenmitglied
Beiträge: 29434 |
#63
Hallo@JAYL
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs {CFBFAE00-17A6-11D0-99CB-00C04FD64497} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) {A281309D-4202-4C6C-9676-2EBFA6D889E4} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------------- Lade die killbox: http://www.bleepingcomputer.com/files/killbox.php Start<Ausfuehren --> schreib rein: cmd dann kopiere reinin das schwarze DOS-Fenster) del %temp% bestaetige mit "Y"--> enter #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen O2 - BHO: (no name) - {A281309D-4202-4C6C-9676-2EBFA6D889E4} - C:\WINDOWS\system32\dlcl.dll O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - Startup: PowerReg SchedulerV2.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe 9 - Extra button: Descarregas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-kazemule-de\local.html (file missing) O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O18 - Filter: text/html - {0ACE5F2A-85D9-4E93-B8D0-BF5A7A11F5FE} - C:\WINDOWS\system32\dlcl.dll O18 - Filter: text/plain - {0ACE5F2A-85D9-4E93-B8D0-BF5A7A11F5FE} - C:\WINDOWS\system32\dlcl.dll --->>>>Button "Fix checked" ------------------------------------------------------------------------------------------------------ oeffne die Killbox. <Delete File on Reboot kopiere rein: C:\WINDOWS\system32\dlcl.dll c:\dial-kazemule-de\local.html C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.01.2005 um 23:58 Uhr von Sabina editiert.
|
|
|
||
16.01.2005, 00:29
...neu hier
Beiträge: 3 |
#64
Hallo Sabina, vielen Dank fü die schnelle + kompetente Hilfe! Ist ja bestimmt jedesmal eine Menge Aufwand für dich, das alles durchzulesen und zu beantworten.
Das Logfile ist jetzt schon wesentlich sauberer und Antivir hat auch nur 2 Einträge gefunden. Ich poste einfach mal das Antivir-Log. :\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery CommonName.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Cydoor.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Cydoor1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Cydoor2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Cydoor3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Cydoor4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit18.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit19.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit20.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit21.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit22.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit23.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit24.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit25.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit26.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit27.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit28.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit29.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit30.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit31.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit32.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINDashBar.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator18.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator19.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt GAINGator9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt KeenValuePerfectNav5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Kurt Knödel NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Kurt Knödel\Eigene Dateien prtg408.zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Kurt Knödel\Favoriten Planet4one Technology Distribution GmbH ? HARDWARE ? SOFTWARE ? KOMMUNIKATION.url Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x0016 WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Kurt Knödel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Kurt Knödel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63S1M1WN go[1].htm [FUND!] Enthält Signatur des HTML-Scriptvirus HTML/Expl.IframeBof3 WURDE GELÖSCHT! C:\Dokumente und Einstellungen\NetworkService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Programme\AVPersonal\INFECTED CLASSLOAD.JAR-76BA5970-47094B1B.ZIP.VIR [FUND!] Ist das Trojanische Pferd TR/Dldr.OpenConn.F WURDE GELÖSCHT! C:\Programme\WinRAR rarnew.dat ArchiveType: RAR HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Leider etwas lang geworden.. Sieht ja schon ganz gut aus, oder ;-) Dieser Beitrag wurde am 16.01.2005 um 00:30 Uhr von MAS1981 editiert.
|
|
|
||
16.01.2005, 00:43
Ehrenmitglied
Beiträge: 29434 |
#65
Hallo@MAS1981
Nun arbeite den Rest ab und poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2005, 07:00
...neu hier
Beiträge: 4 |
#66
hallo,
ich hab mir schon sehr vieles in diesem forum durchgelesen und noch mehr ausprobiert, aber leider ohne erfolg. habe leider auch nicht genau mein problem gefunden. vielleicht weiß ja noch irgend jemand einen rat für mich. habe keine lust den rechner platt zu machen und alles neu zu installieren, wenns vielleicht auch eine andere lösung gibt. hier mein log-file: Logfile of HijackThis v1.99.0 Scan saved at 06:45:22, on 16.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Daten\Meine empfangenen Dateien\Spybot\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated) O1 - Hosts: 172.26.125.1 xbox O1 - Hosts: 172.26.125.21 router O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{202E606B-5977-4BDB-91BF-E950F2E00312}: NameServer = 195.3.96.67,165.3.96.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{F57A47E1-A6C2-46F0-9B05-E1A9C4222DBD}: NameServer = 195.3.96.67,195.3.96.68 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe ich hoffe mir kann noch jemand helfen. vielen dank schon mal im vorraus. gruß jan |
|
|
||
16.01.2005, 13:33
...neu hier
Beiträge: 2 |
#67
hi,
habe auch ein solches problem. hier mein logfile: Logfile of HijackThis v1.99.0 Scan saved at 13:25:09, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Lutzius\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {C9307389-125F-4BD1-9EBD-40DC2B7A3695} - C:\WINDOWS\system32\mcicdb.dll O2 - BHO: (no name) - {FEDFBC0A-8DBC-4E01-89D8-0C502371BABD} - C:\WINDOWS\system32\mspug.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101049617999 O17 - HKLM\System\CCS\Services\Tcpip\..\{07F172B2-CCE9-48F3-A3E4-8DCBB86CCB8B}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{2782E1D7-05DE-4B4E-AE7D-994801DDE1AD}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{4B76B77F-956A-429F-8283-B00E5BBFE138}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E8F708A-3737-48ED-9075-540F8705BF21}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{E7CA4239-7096-4AAC-9C79-5D013265A851}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{F4573BF5-50B0-40D2-8D43-853A96887C32}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CS1\Services\Tcpip\..\{07F172B2-CCE9-48F3-A3E4-8DCBB86CCB8B}: NameServer = 69.50.188.178,69.31.80.244 O18 - Filter: text/html - {46832863-957A-4EA8-A555-DAB9AE56619E} - C:\WINDOWS\system32\mcicdb.dll O18 - Filter: text/plain - {46832863-957A-4EA8-A555-DAB9AE56619E} - C:\WINDOWS\system32\mcicdb.dll O23 - Service: Sophos Cache Manager - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe O23 - Service: Sophos Anti-Virus Network - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS vielen dank für eure hilfe Dieser Beitrag wurde am 16.01.2005 um 15:04 Uhr von Sabina editiert.
|
|
|
||
16.01.2005, 14:49
Ehrenmitglied
Beiträge: 29434 |
#68
Hallo@Lutzius
Start<Ausfuehren --> schreib rein: cmd dann kopiere rein in das schwarze DOS-Fenster) del %temp% bestaetige mit "Y"--> enter regsvr32 /u c:\system32\mcicdb.dll klicke "enter" ----------------------------------------------------------------------------------------------- 1) lade remv3.zip ( 9.71k ) von dieser Seite http://forums.skads.org/index.php?showtopic=80 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml (F8 druecken, wenn der pC hochfaehrt und sich als Administrator anmelden) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen--> Button "Fix checked" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {C9307389-125F-4BD1-9EBD-40DC2B7A3695} - C:\WINDOWS\system32\mcicdb.dll O2 - BHO: (no name) - {FEDFBC0A-8DBC-4E01-89D8-0C502371BABD} - C:\WINDOWS\system32\mspug.dll O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe O15 - Trusted Zone: http://*.63.219.181.7 O18 - Filter: text/html - {46832863-957A-4EA8-A555-DAB9AE56619E} - C:\WINDOWS\system32\mcicdb.dll O18 - Filter: text/plain - {46832863-957A-4EA8-A555-DAB9AE56619E} - C:\WINDOWS\system32\mcicdb.dll Kennen Sie die IP oder die Domäne '69.50.188.178,69.31.80.244' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{07F172B2-CCE9-48F3-A3E4-8DCBB86CCB8B}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{2782E1D7-05DE-4B4E-AE7D-994801DDE1AD}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{4B76B77F-956A-429F-8283-B00E5BBFE138}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E8F708A-3737-48ED-9075-540F8705BF21}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{E7CA4239-7096-4AAC-9C79-5D013265A851}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{F4573BF5-50B0-40D2-8D43-853A96887C32}: NameServer = 69.50.188.178,69.31.80.244 O17 - HKLM\System\CS1\Services\Tcpip\..\{07F172B2-CCE9-48F3-A3E4-8DCBB86CCB8B}: NameServer = 69.50.188.178,69.31.80.244 Button "Fix checked" Loesche: C:\WINDOWS\system32\sp2chk.exe C:\WINDOWS\system32\mspug.dll 4) starte die datei rem.bat, scannen lassen. Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k 5) starte den rechner anschließend im normalen modus. #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html #AboutBuster--> updaten und scannen www.malwarebytes.biz/AboutBuster.zip #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein. Bitte diese Dateien zunächst so belassen, nicht öffnen ! __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.01.2005 um 15:04 Uhr von Sabina editiert.
|
|
|
||
16.01.2005, 16:59
...neu hier
Beiträge: 2 |
#69
Hi, ich habe auch ein solches Problem...
Hier mein HijackThis Logfile: Logfile of HijackThis v1.99.0 Scan saved at 17:02:42, on 16.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\Internet\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WZCBDL Service\WZCBDLS.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Dokumente und Einstellungen\admin\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Internet\ICQ\ICQ.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/sextxsp.chm::/on-line.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c10.cab O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Internet\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Internet\AntiVir\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: WZCBDL Service - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe Was muss ich tun? Danke schon mal im vorraus... Dieser Beitrag wurde am 16.01.2005 um 17:03 Uhr von gockelz editiert.
|
|
|
||
16.01.2005, 19:25
Ehrenmitglied
Beiträge: 29434 |
#70
Hallo@gockelz
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Start<Ausfuehren --> schreib rein: cmd dann kopiere rein: del %temp% bestaetige mit "Y"-->Entertaste ----------------------------------------------------------------------- #eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml (F8 druecken, wenn der pC hochfaehrt und sich als Administrator anmelden) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen--> Button "Fix checked" R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/sextxsp.chm::/on-line.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c10.cab O16 - DPF: {B4F32846-56DD-4CF5-94FD-17DE1A12E9EB} (CounterX Class) - http://t058.com/cabtest/counter.cab Button "Fix checked" Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken gehe wieder in den Normalmodus mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten + danach alles manuell loeschen #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein +poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.01.2005, 19:43
...neu hier
Beiträge: 7 |
#71
Hallo@Sabina
ich habe irgendwie das selbe Problem und kann es trotz verfolgen der Threads nicht beheben... was muß ich tun? Mein HijackThis Log-File: Logfile of HijackThis v1.99.0 Scan saved at 19:38:19, on 16.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\AntiVIR\AVGUARD.EXE C:\AntiVIR\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTSvcCDA.exe C:\WINDOWS\crdk.exe C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Program Files\Winamp5\winampa.exe C:\AntiVIR\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\atlde.exe C:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A6D5714A-23DD-8A3B-9821-97AB83B91146} - C:\WINDOWS\mssm32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp5\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\AntiVIR\AVGNT.EXE /min O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe" O4 - HKLM\..\Run: [atlde.exe] C:\WINDOWS\atlde.exe O4 - HKLM\..\RunOnce: [crdk.exe] C:\WINDOWS\crdk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AntiVIR\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AntiVIR\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\apirj32.exe (file missing) Vielen Dank im Voraus mfg Moppi |
|
|
||
16.01.2005, 20:36
...neu hier
Beiträge: 3 |
#72
@Sabina
Also das log sieht jetzt so aus: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Xfire.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Program Files\Admanager Controller\AdManCtl.exe D:\spiele\steam\steam.exe C:\PROGRA~1\1&1\SMS-MA~1\SMSMngr.exe C:\Program Files\Admanager Controller\AdManKeep.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\ScanPanel\ScnPanel.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe F:\Programme\VMware\VMware Workstation\Programs\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\system32\vmnat.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe F:\Manfred\ab 14.01.04\HijackThis1.99.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [SMS-Manager] C:\Programme\1&1\SMS-Manager\SMSMngr.exe O4 - HKCU\..\Run: [1&1 SMS-Manager] C:\PROGRA~1\1&1\SMS-MA~1\SMSMngr.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ALF-Reminder.lnk = C:\Programme\ALFBanCo\Common\AlfReminder.exe O4 - Global Startup: ScanPanel.lnk = C:\Programme\ScanPanel\ScnPanel.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{7F6B7640-513F-4353-B349-E4BDF38D3267}: NameServer = 62.27.27.62,62.27.53.66 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: VMware Authorization Service - Unknown - F:\Programme\VMware\VMware Workstation\Programs\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - Unknown - C:\WINDOWS\system32\vmnat.exe Oberflächlich hab ich momentan keine Probleme, aber einige Sachen scheinen wohl noch faul zu sein.. |
|
|
||
16.01.2005, 22:04
Ehrenmitglied
Beiträge: 29434 |
#73
Hallo@MAS1981
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Update + konfiguriere den Antivirus [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Gehe in den abgesicherten Modus Fixe mit HijackThis:--> nicht neustarten !!! O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) Loesche: C:\Program Files\Admanager Controller <----kompletten Ordner loeschen Gehe in die Registry Start<Ausfuehren<schreib rein: regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains loesche die kompletten Schluessel: *.frame.crazywinnings.com *.static.topconverting.com *.frame.crazywinnings.com (HKLM) *.static.topconverting.com (HKLM) Mache [color="brown"]wieder einen Komplettscann mit dem Antivirus[/color] gehe wieder in den Normalmodus poste mir das Scan-Log vom Antivirus + #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 dieses Log + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.01.2005 um 22:20 Uhr von Sabina editiert.
|
|
|
||
16.01.2005, 22:16
Ehrenmitglied
Beiträge: 29434 |
#74
Hallo@Moppi
Start<Ausfuehren --> schreib rein: cmd dann kopiere rein: del %temp% bestaetige mit "Y"-->Entertaste ----------------------------------------------------------------------- Lade und entpacke auf dem Desktop: KillBox http://www.bleepingcomputer.com/files/killbox.php #update den Antivirus und konfiguriere:dass alle "alle Dateien" gescannt werden [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "fixme.reg" auf dem Desktop speichern. REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\½O.#ž‚„õØ´â] [-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ICOO] [-HKEY_CLASSES_ROOT\CLSID\{A6D5714A-23DD-8A3B-9821-97AB83B91146}] #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mapqu.dll/sp.html#89328 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {A6D5714A-23DD-8A3B-9821-97AB83B91146} - C:\WINDOWS\mssm32.dll O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O4 - HKLM\..\Run: [atlde.exe] C:\WINDOWS\atlde.exe O4 - HKLM\..\RunOnce: [crdk.exe] C:\WINDOWS\crdk.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\apirj32.exe (file missing) PC neustarten Die Datei "fixme.reg" auf dem Desktop doppelklicken. oeffne die Killbox: Delete File on Reboot <Unregister .dll before deleting.” und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere rein: C:\WINDOWS\system32\apirj32.exe C:\WINDOWS\crdk.exe C:\WINDOWS\atlde.exe C:\WINDOWS\mapqu.dll/sp.html C:\Program Files\DeskAd Service\DeskAdServ.exe C:\WINDOWS\mssm32.dll PC neustarten--> in den abgesicherten Modus --> F8 druecken, wenn der PC hochfaehrt--> melde dich im abgesicherten Modus als Administrator an. Gehe in die Registry Start<Ausfuehren<schreib rein: regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains loesche die kompletten Schluessel: *.frame.crazywinnings.com *.static.topconverting.com *.frame.crazywinnings.com (HKLM) *.static.topconverting.com (HKLM) Loesche: C:\Program Files\DeskAd Service <----den kompletten Ordner loeschen Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k mache einen Komplettscann mit dem Antivirus (poste mir dann das Scannlog) gehe wieder in den Normalmodus #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.01.2005 um 22:25 Uhr von Sabina editiert.
|
|
|
||
17.01.2005, 21:40
...neu hier
Beiträge: 7 |
#75
Hallo Sabina...
erstmal ganz lieben Dank für die Hilfe, bis jetzt noch keine Virenwarnungen. Hier ein paar Dinge, die nicht klappten: 1) del %temp% konnte eine JETxxxx.temp nicht löschen (xxxx war immer eine andere Kombination, momentan gerade JET9114.tmp) 2) konnte bei KillBox nicht "Uninstall.dll before deleting" einstellen 3) nachdem ich soeben ein Update von AntiVir gemacht hatte auch: Programm: 6.29.00.03 Such-Engine: 6.29.0.7 VDF-Datei: 6.29.0.66 AVRep.dll: 6.29.00.64 bekam ich die Warnung über Trojaner Lefeat (siehe AV-Logfile) Ich glaube, das irgendwo noch etwas hängt, aber es schon deutlich besser ist als vorher. Hier mein HJT-Log: Logfile of HijackThis v1.99.0 Scan saved at 21:12:40, on 17.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Program Files\Winamp5\winampa.exe C:\AntiVIR\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\AntiVIR\AVGUARD.EXE C:\AntiVIR\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTSvcCDA.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-chemnitz.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp5\winampa.exe O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe" O4 - HKLM\..\Run: [mfcyy.exe] C:\WINDOWS\system32\mfcyy.exe O4 - HKLM\..\Run: [AVGCtrl] C:\AntiVIR\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.frame.crazywinnings.com O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AntiVIR\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AntiVIR\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\apirj32.exe (file missing) und noch das AV-Logfile: Erstellungsdatum der Reportdatei: Montag, 17. Januar 2005 19:48 AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004 VDF-Datei v6.29.0.66 (0) vom 17.01.2005 Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt. Jede andere Verwendung ist NICHT gestattet. Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei: www.antivir.de. Es wird nach 95668 Viren bzw. unerwünschten Programmen gesucht. Lizenznehmer: AntiVir Personal Edition Seriennummer: 0000149996-ADJIE-0001 FUSE: Grundlizenz Bitte tragen Sie in dieses Formular den Rechnerstandort und den zuständigen Ansprechpartner mit Telefonnummer ein: Name ___________________________________________ Straße ___________________________________________ PLZ/Ort ___________________________________________ Telefon/Fax ___________________________________________ EMail ___________________________________________ Plattform: Windows NT Workstation Windows-Version: 5.1 Build 2600 (Service Pack 1) Benutzername: Administrator Computername: ATHLON Prozessor: Pentium Arbeitsspeicher: 523760 KB frei Versionsinformationen: AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVEWIN32.DLL : v6.29.0.7 791040 17.01.2005 19:10:12 AVGNT.EXE : v6.28.00.02 127016 15.11.2004 12:58:26 AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44 GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 09:10:44 AVGCMSG.DLL : v6.28.00.02 266280 15.11.2004 12:58:26 AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44 AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44 AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 09:10:40 AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44 AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 09:10:42 AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44 AVSched32.DLL : v6.28.00.01 122880 30.09.2004 09:10:42 AVREG.DLL : v6.27.00.01 41000 30.09.2004 09:10:42 AVRep.DLL : v6.29.00.64 872488 17.01.2005 19:10:20 INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44 INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44 CTL3D32.DLL : v2.31.000 27136 23.08.2001 13:00:00 MFC42.DLL : v6.00.8665.0 995383 23.08.2001 13:00:00 MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920 MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 11:41:08 CTL3DV2.DLL : Keine Information Konfigurationsdaten: Name der Konfigurationsdatei: C:\AntiVIR\AVWIN.INI Name der Reportdatei: C:\AntiVIR\LOGFILES\AVWIN.LOG Startpfad: C:\AntiVIR Kommandozeile: Startmodus: unbekannt Modus der Reportdatei: [ ] Kein Report erstellen [X] Report überschreiben [ ] Neuen Report anhängen Daten in Reportdatei: [X] Infizierte Dateien [ ] Infizierte Dateien mit Pfaden [ ] Alle durchsuchten Dateien [ ] Komplette Information Reportdatei kürzen: [ ] Reportdatei kürzen Warnungen im Report: [X] Zugriffsfehler/Datei gesperrt [X] Falsche Dateigröße im Verzeichnis [X] Falsche Erstellungszeit im Verzeichnis [ ] COM-Datei zu groß [X] Ungültige Startadresse [X] Ungültiger EXE-Header [X] Möglicherweise beschädigt Kurzreport: [X] Kurzreport erstellen Ausgabedatei: AVWIN.ACT Maximale Anzahl Einträge: 100 Wo zu suchen ist: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien Reaktion bei Fund: [X] Reparieren mit Rückfrage [ ] Reparieren ohne Rückfrage [ ] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Nur in Logdatei aufzeichnen [X] Akustische Warnung Reaktion bei defekten Dateien: [X] Löschen mit Rückfrage [ ] Löschen ohne Rückfrage [ ] Ignorieren Reaktion bei defekten Dateien: [X] Nicht verändern [ ] Aktuelle Systemzeit [ ] Datum korrigieren Drag&Drop-Einstellungen: [X] Unterverzeichnisse durchsuchen Profil-Einstellungen: [X] Unterverzeichnisse durchsuchen Einstellungen der Archive [X] Archive durchsuchen [X] Auszulassende ArchivTypen 1000 1001 1002 Diverse Optionen: Temporärer Pfad: %TEMP% -> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp [X] Virulente Dateien überschreiben [ ] Leerlaufzeit entdecken [X] Stoppen der Prüfung zulassen [ ] AVWin®/NT Guard beim Systemstart laden Allgemeine Einstellungen: [X] Einstellungen beim Beenden speichern Priorität: hoch Laufwerke: A: Diskettenlaufwerk C: Festplatte D: CDRom E: CDRom Start des Suchlaufs: Montag, 17. Januar 2005 19:48 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Documents and Settings\Administrator NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson user.dmp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery AlexaRelated.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchAffWinshow.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchFeatInstaller.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt CoolWWWSearchWCADW9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit10.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit11.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit12.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit13.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit14.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit15.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit16.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit17.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit18.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit19.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit20.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit21.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit22.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit23.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit24.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit25.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit26.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit27.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit28.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit29.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit30.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit31.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit32.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit33.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit34.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit35.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit36.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit37.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit38.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit39.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit40.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit41.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit42.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit43.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit44.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit45.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit46.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit47.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit48.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit49.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit50.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit51.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit52.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit53.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit54.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit55.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit56.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit57.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit58.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit59.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit60.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit61.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit62.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit63.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit64.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit65.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit66.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit67.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit68.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit69.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit70.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit71.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit72.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit73.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit74.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit75.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit76.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit77.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit9.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt ShopAtHome.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup3.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup4.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup5.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup6.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup7.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Winpup8.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Family\SicherungskopieCONNY\Eigene Bilder Bewerbungsunterlagen_V_(1103).zip ArchiveType: ZIP --> ErklºrStraf.doc Unkown Error C:\Family\SicherungskopieCONNY\EigeneTexte Bewerbungsunterlagen Hessen.zip ArchiveType: ZIP --> ErklºrStraf.doc Unkown Error C:\Program Files\texmf\source\latex\aeguill aeguill-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\begriff begriff-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\betababel betababel-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\bezos bezos-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\cite cite-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\covington covington-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\ednotes ednotes-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\keystroke keystroke-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\lineno lineno-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\mla-paper mla-paper-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\muthesis muthesis-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\nath nath-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\nomentbl nomentbl-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\progress progress-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\smallcap smallcap-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\smalltableof smalltableof-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\texlogos texlogos-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\upquote upquote-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\uwthesis uwthesis-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\wrapfig wrapfig-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) C:\Program Files\texmf\source\latex\york-thesis york-thesis-src.cab ArchiveType: CAB (Microsoft) HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume) Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS apiqb.exe.bak [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! appap.exe.bak [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! bootstat.dat:wzgto [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! dahotfix.log:gpxno [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! DirectX.log:yqpsj [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! DirectX.log:txgjn [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! Greenstone.bmp:fixjs [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! iebh32.exe.bak [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! imsins.log:uklbg [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! IsUn0407.exe:hihel [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! IsUninst.exe:eeelq [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! jautoexp.dat:xpuce [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! jautoexp.dat:mlwga [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! jautoexp.dat:ewxre [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! javarz32.exe.bak [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! KB823182.log:hutcg [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! KB824105.log:aiajn [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! KB824146.log:znepi [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! KB837001.log:xafbn [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! msgsocm.log:lsgpj [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! netfxocm.log:olznd [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! NOTEPAD.EXE:zmggx [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! n_nfxcrl.txt [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! n_ojovsy.dat [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! ocgen.log:kgjru [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! ocmsn.log:mymca [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! ocmsn.log:dbygq [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! OEWABLog.txt:yxtnt [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! PowerReg.dat:erehu [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! Q828026.log:zzsns [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! Q828026.log:rszho [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! Q828026.log:fezdx [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! regopt.log:ukgbr [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! regopt.log:rzlau [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! Rhododendron.bmp:tapdk [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! Santa Fe Stucco.bmp:clkanu [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! SBWIN.INI:vmvnhx [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! sessmgr.setup.log:arabq [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! Sti_Trace.log:sudmn [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! sysfo.exe [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! twunk_32.exe:zyblp [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! twunk_32.exe:wlfsr [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! uninst.exe:lhhgg [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! vminst.log:dirta [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! winamp.ini:gzbnm [FUND!] Ist das Trojanische Pferd TR/Lefeat WURDE GELÖSCHT! winhelp.exe:ibned [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! winnt256.bmp:atykf [FUND!] Ist das Trojanische Pferd TR/Lefeat.1 WURDE GELÖSCHT! Zapotec.bmp:ggona [FUND!] Ist das Trojanische Pferd TR/Lefeat.DLL2 WURDE GELÖSCHT! C:\WINDOWS\$NtUninstallKB824141$ user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! win32k.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB826939$ accwiz.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! crypt32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! cryptsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hh.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hhctrl.ocx Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! hhsetup.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! html32.cnv Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! itss.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! locator.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! magnify.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! migwiz.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mrxsmb.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! narrator.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! newdev.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntdll.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntkrnlpa.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntoskrnl.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ole32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! osk.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! pchshell.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! raspptp.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcrt4.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcss.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! shell32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! shmedia.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srrstr.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! srv.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! sysmain.sdb Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! user32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! win32k.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! winsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! zipfldr.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828028$ msasn1.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828035$ msgsvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wkssvc.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB828741$ catsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! catsrvut.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! clbcatex.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! clbcatq.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! colbact.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comadmin.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comrepl.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comsvcs.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! comuid.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! es.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! migregdb.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtcprx.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtctm.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msdtcuiu.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mtxclu.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mtxoci.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ole32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcrt4.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rpcss.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! txflog.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB833407$ bssym7.ttf Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB835732$ callcont.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! cmdevtgprov.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! evtgprov.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! gdi32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! h323.tsp Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! h323msp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! helpctr.exe Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ipnathlp.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! lsasrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mf3216.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msasn1.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msgina.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mst120.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! netapi32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! nmcom.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! rtcdll.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! schannel.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallKB837001$ dao360.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! expsrv.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msexch40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msexcl40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjet40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjetoledb40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjint40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjter40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msjtes40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msltus40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mspbde40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrd2x40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrd3x40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msrepl40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mstext40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mswdat10.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! mswstr10.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! msxbde40.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! vbajet32.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\$NtUninstallQ828026$ msdxm.ocx Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! wmpcore.dll Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! default.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Montag, 17. Januar 2005 21:00 Benötigte Zeit: 72:28 min 10240 Verzeichnisse wurden durchsucht 256104 Dateien wurden geprüft 112 Warnungen wurden ausgegeben 48 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 48 Viren bzw. unerwünschte Programme wurden gefunden Falls Du einen Fehler siehst, ich bin über jede Hilfe sehr dankbar. MfG Matthias |
|
|
||
Start<Ausfuehren --> schreib rein: cmd
dann kopiere rein:
del %temp%
bestaetige mit "Y"-->Entertaste
-----------------------------------------------------------------------
Lade die killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als "fixme.reg" auf dem Desktop speichern.
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØ´â]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\½O.#ž‚„õØ´â]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\½O.#ž‚„õØ´â]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\½O.#ž‚„õØ´â]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ICOO]
[-HKEY_CLASSES_ROOT\CLSID\{4A8DADD4-5A25-4D41-8599-CB7458766220}]
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ksety.dll/sp.html#89328
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ksety.dll/sp.html#89328
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ksety.dll/sp.html#89328
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ksety.dll/sp.html#89328
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ksety.dll/sp.html#89328
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {27E66E0E-10B1-AE94-6FA4-137B013EE875} - C:\WINDOWS\system32\sysub.dll (file missing)
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=012405 Seri*hier nicht!*=DR12WUJ-7525950-HXN lang=DE
O4 - HKLM\..\Run: [netox32.exe] C:\WINDOWS\system32\netox32.exe
O4 - HKLM\..\Run: [29C.tmp] C:\DOKUME~1\KURTKN~1\LOKALE~1\Temp\29C.tmp.exe 4 10001
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [29C.tmp.exe] C:\DOKUME~1\KURTKN~1\LOKALE~1\Temp\29C.tmp.exe 5 10001
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c10.cab
Kennen Sie die IP oder die Domäne '62.27.27.62,62.27.53.66' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{790ABDBD-7499-40EC-AD0A-69760D423495}: NameServer = 62.27.27.62,62.27.53.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F6B7640-513F-4353-B349-E4BDF38D3267}: NameServer = 62.27.27.62,62.27.53.66
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\ipsi32.exe (file missing)
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
oeffne die Killbox:
Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\DOKUME~1\KURTKN~1\LOKALE~1\Temp\29C.tmp.exe
C:\WINDOWS\ipsi32.exe
C:\WINDOWS\system32\ksety.dll
C:\WINDOWS\system32\netox32.exe
PC neustarten--> wieder in den abgesicherten Modus
loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#C:\Windows\Downloaded Programm Files\ -->löschen
mache einen Komplettscann mit dem Antivirus (im abgesicherten Modus --> poste mir das Log vom Scann)
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
boote wieder in den Normalmodus
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina
rund um die PC-Sicherheit