Home » Spyware & Browser Hijacker Support Forum » startseite lässt sich nicht ändern » Themenansicht

startseite lässt sich nicht ändern
#0
17.01.2005, 22:26
Lutzius
...neu hier

Beiträge: 2
#76 hallo@sabina

anbei der neue log.txt von hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 22:17:27, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Sophos\Remote Update\imonitor.exe
C:\Programme\Sophos\Remote Update\cachemgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\HPHipm09.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Lutzius\Eigene Dateien\VIRUS!!\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101049617999
O23 - Service: Sophos Cache Manager - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: Sophos Anti-Virus Network - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS


...und hier der von log.txt und C:\


Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished


...habe dann noch unter c:\ eine datei bad1.txt stehen????
ist die auch wichtig????

vielen dank nochmal für deine hilfe!!! glaube es ist alles wieder ok!?

gruß
lutzius
Seitenanfang Seitenende
17.01.2005, 23:44
JAYL
...neu hier

Beiträge: 2
#77 Hallo sabrina

Vielendank für die schnelle und sehr Kompetente Hilfe

HIer mein HIJACK THIS LoG

Logfile of HijackThis v1.99.0
Scan saved at 23:45:20, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\My Stuff\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMONTRAY] C:\Program Files\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [RDBirthdayReminder] "c:\programme\rd birthday reminder\birthday.exe" /autostart
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = C:\Programme\Quicken2004\billmind.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://www.dolomitisuperski.com
O15 - Trusted Zone: http://www.technovideo24select-de.guyaonline.com
O15 - Trusted Zone: http://www.toxoholics.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093851331234
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6ECB91C-0515-42F3-BC9B-696DD08F62C6}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Intel(R) Active Monitor - Intel Corp. - C:\Program Files\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
18.01.2005, 01:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#78 Hallo@Moppi

Gehe in die Registry

Start<Ausfuehren<schreib rein: regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

loesche die kompletten Schluessel:
frame.crazywinnings.com

------------------------------------------------------------------------------------
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [mfcyy.exe] C:\WINDOWS\system32\mfcyy.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\apirj32.exe (file missing)

neustarten

Loesche:(mit der Killbox)
C:\WINDOWS\system32\mfcyy.exe
C:\WINDOWS\system32\apirj32.exe

scanne noch mal mit dem Antivirus und poste das Log vom Scann, + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.01.2005 um 01:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.01.2005, 01:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#79 Hallo@JAYL

das Log ist sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2005, 01:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#80 Hallo@Lutzius

Das Log ist sauber ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2005, 20:09
Moppi
...neu hier

Beiträge: 7
#81 Hello again@Sabina

folgendes ging nicht, das sich der kein Schüssel bzw. Ordner von crazywinnings dort befand, steht aber trotzdem noch im HJT-Logfile drin.
Hast Du irgendeinen Tip??

>Start<Ausfuehren<schreib rein: regedit
>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

>loesche die kompletten Schluessel:
>frame.crazywinnings.com

hier nochmals AV-Logfile und HJT-Logfile.

HJT-Logfile

Logfile of HijackThis v1.99.0
Scan saved at 19:02:39, on 18.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Program Files\Winamp5\winampa.exe
C:\AntiVIR\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\AntiVIR\AVGUARD.EXE
C:\AntiVIR\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Moppi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-chemnitz.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp5\winampa.exe
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.1\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\AntiVIR\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\AntiVIR\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\AntiVIR\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

AV-Logfile

Erstellungsdatum der Reportdatei: Dienstag, 18. Januar 2005 19:17

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.68 (0) vom 18.01.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 95786 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)
Benutzername: Moppi
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.8 791040 18.01.2005 19:09:24
AVGNT.EXE : v6.28.00.02 127016 15.11.2004 12:58:26
AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44
GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 09:10:44
AVGCMSG.DLL : v6.28.00.02 266280 15.11.2004 12:58:26
AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 09:10:40
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 09:10:42
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 30.09.2004 09:10:42
AVREG.DLL : v6.27.00.01 41000 30.09.2004 09:10:42
AVRep.DLL : v6.29.00.64 872488 17.01.2005 19:10:20
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
CTL3D32.DLL : v2.31.000 27136 23.08.2001 13:00:00
MFC42.DLL : v6.00.8665.0 995383 23.08.2001 13:00:00
MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : v7.0.2600.1106 323072 29.08.2002 11:41:08
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\AntiVIR\AVWIN.INI
Name der Reportdatei: C:\AntiVIR\LOGFILES\AVWIN.LOG
Startpfad: C:\AntiVIR
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[ ] Löschen mit Rückfrage
[X] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Auszulassende ArchivTypen
1000 1001 1002

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOCUME~1\Moppi\LOCALS~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: hoch

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: CDRom
E: CDRom

Start des Suchlaufs: Dienstag, 18. Januar 2005 19:17

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchAffWinshow.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchFeatInstaller.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWCADW9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit18.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit19.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit20.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit21.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit22.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit23.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit24.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit25.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit26.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit27.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit28.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit29.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit30.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit31.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit32.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit33.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit34.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit35.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit36.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit37.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit38.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit39.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit40.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit41.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit42.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit43.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit44.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit45.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit46.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit47.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit48.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit49.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit50.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit51.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit52.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit53.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit54.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit55.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit56.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit57.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit58.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit59.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit60.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit61.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit62.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit63.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit64.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit65.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit66.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit67.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit68.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit69.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit70.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit71.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit72.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit73.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit74.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit75.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit76.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit77.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit78.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit79.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit80.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit81.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit82.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ShopAtHome.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Winpup9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Documents and Settings\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\Moppi
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\Moppi\Local Settings\Application Data\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\Moppi\Local Settings\Temp
JET8C13.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\Moppi\Local Settings\Temporary Internet Files\Content.IE5\R2KRNXKD
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
--> GetFlash.man
HINWEIS! Der Archivheader ist defekt
C:\Documents and Settings\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Family\SicherungskopieCONNY\Eigene Bilder
Bewerbungsunterlagen_V_(1103).zip
ArchiveType: ZIP
--> ErklºrStraf.doc
Unkown Error
C:\Family\SicherungskopieCONNY\EigeneTexte
Bewerbungsunterlagen Hessen.zip
ArchiveType: ZIP
--> ErklºrStraf.doc
Unkown Error
C:\Program Files\texmf\source\latex\aeguill
aeguill-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\begriff
begriff-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\betababel
betababel-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\bezos
bezos-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\cite
cite-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\covington
covington-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\ednotes
ednotes-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\keystroke
keystroke-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\lineno
lineno-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\mla-paper
mla-paper-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\muthesis
muthesis-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\nath
nath-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\nomentbl
nomentbl-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\progress
progress-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\smallcap
smallcap-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\smalltableof
smalltableof-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\texlogos
texlogos-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\upquote
upquote-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\uwthesis
uwthesis-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\wrapfig
wrapfig-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\texmf\source\latex\york-thesis
york-thesis-src.cab
ArchiveType: CAB (Microsoft)
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
default.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Dienstag, 18. Januar 2005 20:02
Benötigte Zeit: 44:32 min


10250 Verzeichnisse wurden durchsucht
255783 Dateien wurden geprüft
25 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
Seitenanfang Seitenende
19.01.2005, 00:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#82 Hallo@moppi

Nun mussen wir die Tippel-Tappel-Tour gehen

>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains

--> das MUSS dasein
´´frame.crazywinnings.com

Schaue bitte auch unter trustet-Zone im Internetexplorer, dort muesste es auch sein und loesche es aus den Vetrauenswuerdigen Seiten raus
---------------------------------------------------------------------------------------------
DllCompare
http://www.atribune.org/downloads/DllCompare.exe
klick: Locate.com button.
wenn der Scan beendet ist
klick:Compare button
klick: und erstelle das Log--->bitte posten

FindIt.zip--> poste das Log vom Scan
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

Installiere und aktualisiere bitte Adaware:-->poste bitte das Log vom Scann
http://www.download.com/Ad-Aware-SE-Personal-Edition/3000-8022_4-10045910.html?part=dl-ad-aware&subj=dl&tag=top5
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.01.2005 um 00:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.01.2005, 18:15
Moppi
...neu hier

Beiträge: 7
#83 Hallo @Sabina,

danke nochmals für Deine Hilfe... habe mal die Logfiles mitgeschickt

davor aber noch eine Sache:

So komisch es klingt, frame.crazywinnings.com befindet sich nicht unter dem Pfad!
aber:
habe mal die Sache suchen lassen und wurde fündig unter folgendem Pfad:
HKEY_USERS\S-1-5-21-1614895754-2139871995-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\frame.crazywinnings.com

vielleicht hilft Dir das ja weiter?!

Hier die Log-files

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found ;)"
________________________________________________

1.170 items found: 1.170 files, 0 directories.
Total of file sizes: 218.107.588 bytes 208,00 M

Administrator Account = Wahr

--------------------End log---------------------



Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is 9C9C-F509

Directory of C:\WINDOWS\System32

18.01.2005 21:00 <DIR> dllcache
27.03.2004 10:37 <DIR> Microsoft
0 File(s) 0 bytes
2 Dir(s) 41.448.505.344 bytes free

------- Hidden Files in System32 Directory -------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is 9C9C-F509

Directory of C:\WINDOWS\System32

18.01.2005 21:00 <DIR> dllcache
22.03.2004 18:46 488 logonui.exe.manifest
22.03.2004 18:46 488 WindowsLogon.manifest
22.03.2004 18:45 749 wuaucpl.cpl.manifest
22.03.2004 18:45 749 cdplayer.exe.manifest
22.03.2004 18:45 749 sapi.cpl.manifest
22.03.2004 18:45 749 nwc.cpl.manifest
22.03.2004 18:45 749 ncpa.cpl.manifest
7 File(s) 4.721 bytes
1 Dir(s) 41.448.501.248 bytes free

---------- Files Named "Guard" -------------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is 9C9C-F509

Directory of C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Volume in drive C has no label.
Volume Seri*hier nicht!* Number is 9C9C-F509

Directory of C:\WINDOWS\System32

23.08.2001 13:00 2.577 CONFIG.TMP
1 File(s) 2.577 bytes
0 Dir(s) 41.448.501.248 bytes free

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------


-------------- Locate.com Results ---------------


No matches found.



Ad-Aware SE Build 1.05
Logfile Created on:Mittwoch, 19. Januar 2005 17:54:06
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R25 11.01.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):15 total references
Tracking Cookie(TAC index:3):3 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


19.01.2005 17:54:06 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\nico mak computing\winzip\filemenu
Description : winzip recently used archives


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\google\navclient\1.1\history
Description : list of recently used search terms in the google toolbar


MRU List Object Recognized!
Location: : S-1-5-21-1614895754-2139871995-682003330-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : C:\Documents and Settings\Moppi\recent
Description : list of recently opened documents


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 344
ThreadCreationTime : 19.01.2005 16:27:29
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 404
ThreadCreationTime : 19.01.2005 16:27:30
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 524
ThreadCreationTime : 19.01.2005 16:27:32
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 568
ThreadCreationTime : 19.01.2005 16:27:32
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Services and Controller app
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 580
ThreadCreationTime : 19.01.2005 16:27:32
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 756
ThreadCreationTime : 19.01.2005 16:27:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 808
ThreadCreationTime : 19.01.2005 16:27:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 876
ThreadCreationTime : 19.01.2005 16:27:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 936
ThreadCreationTime : 19.01.2005 16:27:33
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1200
ThreadCreationTime : 19.01.2005 16:27:34
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : EXPLORER.EXE

#:11 [lexbces.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1288
ThreadCreationTime : 19.01.2005 16:27:34
BasePriority : Normal
FileVersion : 8.16
ProductVersion : 8.16
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LexBce Service
InternalName : LexBce Service
LegalCopyright : (C) 1993 - 2003 Lexmark International, Inc.
OriginalFilename : LexBceS.exe

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1324
ThreadCreationTime : 19.01.2005 16:27:34
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [lexpps.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1364
ThreadCreationTime : 19.01.2005 16:27:34
BasePriority : Normal
FileVersion : 8.16
ProductVersion : 8.16
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LEXPPS.EXE
InternalName : LEXPPS
LegalCopyright : (C) 1993 - 2003 Lexmark International, Inc.
OriginalFilename : LEXPPS.EXE
Comments : MarkVision for Windows '95 New P2P Server (32-bit)

#:14 [ctmix32.exe]
FilePath : C:\Program Files\Creative\Audio\PROGRAM\
ProcessID : 1520
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal
FileVersion : 6.01.1
ProductVersion : 6.01.1
ProductName : Creative Mixer Loader
CompanyName : Creative Technology Ltd.
FileDescription : Creative Mixer Loader
InternalName : Creative Mixer Loader
LegalCopyright : Copyright (c) Creative Technology Ltd 1991-1999.
OriginalFilename : CTMXLD32.EXE

#:15 [em_exec.exe]
FilePath : C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\
ProcessID : 1532
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal
FileVersion : 9.42.57
ProductVersion : 9.42.1
ProductName : MouseWare
CompanyName : Logitech Inc.
FileDescription : Control Center
InternalName : EM_EXEC
LegalCopyright : Copyright © Logitech Inc. 1987-2001.
LegalTrademarks : Logitech® and MouseWare® are registered trademarks of Logitech Inc.
OriginalFilename : EM_EXEC.CPP
Comments : Created by the MouseWare Team

#:16 [mm_tray.exe]
FilePath : C:\Program Files\MusicMatch\MusicMatch Jukebox\
ProcessID : 1540
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal
FileVersion : 6.10.0232
ProductVersion : 6.10.0232
ProductName : MusicMatch Jukebox
CompanyName : MusicMatch
FileDescription : mm_tray
InternalName : mm_tray
LegalCopyright : Copyright (C) MusicMatch 1998-1999
LegalTrademarks :
OriginalFilename : mm_tray.exe

#:17 [winampa.exe]
FilePath : C:\Program Files\Winamp5\
ProcessID : 1568
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal


#:18 [avgnt.exe]
FilePath : C:\AntiVIR\
ProcessID : 1584
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal


#:19 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1596
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:20 [msmsgs.exe]
FilePath : C:\Program Files\Messenger\
ProcessID : 1604
ThreadCreationTime : 19.01.2005 16:27:36
BasePriority : Normal
FileVersion : 4.7.0041
ProductVersion : Version 4.7
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2001
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:21 [spysub.exe]
FilePath : C:\Program Files\interMute\SpySubtract\
ProcessID : 1624
ThreadCreationTime : 19.01.2005 16:27:37
BasePriority : Normal
FileVersion : 1, 0, 1, 49
ProductVersion : 2.60
ProductName : SpySubtract
CompanyName : InterMute, Inc.
FileDescription : SpySubtract Program EXE
InternalName : SpySub.exe
LegalCopyright : Copyright (c) 2004 InterMute, Inc. All rights reserved.
OriginalFilename : SpySub.exe

#:22 [wzqkpick.exe]
FilePath : C:\Program Files\WinZip\
ProcessID : 1636
ThreadCreationTime : 19.01.2005 16:27:37
BasePriority : Normal
FileVersion : 1.0 (32-bit)
ProductVersion : 9.0 (6028)
ProductName : WinZip
CompanyName : WinZip Computing, Inc.
FileDescription : WinZip Executable
InternalName : WZQKPICK.EXE
LegalCopyright : Copyright (c) WinZip Computing, Inc. 1991-2004 - All Rights Reserved
LegalTrademarks : WinZip is a registered trademark of WinZip Computing, Inc
OriginalFilename : WZQKPICK.EXE
Comments : StringFileInfo: U.S. English

#:23 [avguard.exe]
FilePath : C:\AntiVIR\
ProcessID : 1784
ThreadCreationTime : 19.01.2005 16:27:42
BasePriority : Normal


#:24 [avwupsrv.exe]
FilePath : C:\AntiVIR\
ProcessID : 1796
ThreadCreationTime : 19.01.2005 16:27:42
BasePriority : Normal


#:25 [cdac11ba.exe]
FilePath : C:\WINDOWS\System32\drivers\
ProcessID : 1808
ThreadCreationTime : 19.01.2005 16:27:42
BasePriority : Normal
FileVersion : 4.20.020
ProductVersion : 4.20.020 Windows NT 2002/12/10
ProductName : SafeCast Windows NT
CompanyName : Macrovision
FileDescription : Macrovision RTS Service
InternalName : CDANTSRV
LegalCopyright : Copyright (c) 1998-2002 Macrovision Corp.
OriginalFilename : CDANTSRV.EXE
Comments : StringFileInfo: U.S. English

#:26 [ctsvccda.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1832
ThreadCreationTime : 19.01.2005 16:27:42
BasePriority : Normal
FileVersion : 1.0.1.0
ProductVersion : 1.0.0.0
ProductName : Creative Service for CDROM Access
CompanyName : Creative Technology Ltd
FileDescription : Creative Service for CDROM Access
InternalName : CTsvcCDAEXE
LegalCopyright : Copyright (c) Creative Technology Ltd., 1999. All rights reserved.
OriginalFilename : CTsvcCDA.EXE

#:27 [firefox.exe]
FilePath : C:\Program Files\Mozilla Firefox\
ProcessID : 1980
ThreadCreationTime : 19.01.2005 16:27:59
BasePriority : Normal


#:28 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3048
ThreadCreationTime : 19.01.2005 16:53:30
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 15


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : moppi@as1.falkag[2].txt
Category : Data Miner
Comment : Hits:54
Value : Cookie:moppi@as1.falkag.de/
Expires : 17.02.2005 22:22:36
LastSync : Hits:54
UseCount : 0
Hits : 54

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : moppi@partners.webmasterplan[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:moppi@partners.webmasterplan.com/
Expires : 28.01.2005
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : moppi@adtech[2].txt
Category : Data Miner
Comment : Hits:6
Value : Cookie:moppi@adtech.de/
Expires : 15.01.2015 21:13:46
LastSync : Hits:6
UseCount : 0
Hits : 6

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 18



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 18


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 18

18:07:47 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:13:40.938
Objects scanned:263909
Objects identified:3
Objects ignored:0
New critical objects:3


Vielen Dank

MfG Matthias
Seitenanfang Seitenende
19.01.2005, 18:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#84 Hallo@moppi

Loesche den Eintrag in der Registry

HKEY_USERS\S-1-5-21-1614895754-2139871995-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche (komplett)
frame.crazywinnings.com

Fixe mit dem HijackThis:
O15 - Trusted Zone: *.frame.crazywinnings.com

neustarten und poste das neue Log
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.01.2005 um 18:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.01.2005, 17:03
vollger
...neu hier

Beiträge: 4
#85 hallo,

ich hab mir schon sehr vieles in diesem forum durchgelesen und noch mehr ausprobiert, aber leider ohne erfolg. habe leider auch nicht genau mein problem gefunden. vielleicht weiß ja noch irgend jemand einen rat für mich. habe keine lust den rechner platt zu machen und alles neu zu installieren, wenns vielleicht auch eine andere lösung gibt.

hier mein log-file:

Logfile of HijackThis v1.99.0
Scan saved at 06:45:22, on 16.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Daten\Meine empfangenen Dateien\Spybot\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated)
O1 - Hosts: 172.26.125.1 xbox
O1 - Hosts: 172.26.125.21 router
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{202E606B-5977-4BDB-91BF-E950F2E00312}: NameServer = 195.3.96.67,165.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{F57A47E1-A6C2-46F0-9B05-E1A9C4222DBD}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

ich hoffe mir kann noch jemand helfen. vielen dank schon mal im vorraus.

gruß jan
Seitenanfang Seitenende
21.01.2005, 10:30
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#86 Hallo@vollger

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://asdfqwre.com?u=1560 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://asdfqwre.com?u=1560 (obfuscated)

O1 - Hosts: 172.26.125.1 xbox (?)
O1 - Hosts: 172.26.125.21 router (?)

Kennen Sie die IP oder die Domäne '195.3.96.67,165.3.96.68' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{202E606B-5977-4BDB-91BF-E950F2E00312}: NameServer = 195.3.96.67,165.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{F57A47E1-A6C2-46F0-9B05-E1A9C4222DBD}: NameServer = 195.3.96.67,195.3.96.68

PC neustarten

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

MRU-Clear XP 1.2
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html
-------------------------------------------------------------------------------------------------
1.Schritt:
Lade: FindIt.zip--> noch einmal posten, bitte
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

2.Schritt:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
laden--> scannen --< PC neustarten ---> noch mal scannen--> poste das Log

3.Schritt:
#eScan-Erkennungstool[/u]
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.01.2005 um 10:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.01.2005, 14:56
luggi
Member

Themenstarter

Beiträge: 32
#87 hi,

ich habe wieder das Problem, dass sich bei mir die Startseite nicht ändern lässt. Ich habe es mit adaware, escan, symantec antivirus client probiert, nützt nichts.
Ich poste mal meinen Hijacklog:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Lukas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 14 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11225
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL

Ich hoffe, ihr könnt mir helfen!
Als Startseite bekomme ich immer folgende Seite:
http://here4search.com/enter.htm?id=11225

Bitte helft mir

Vielen Dank!

Lukas
Seitenanfang Seitenende
22.01.2005, 15:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#88 Hallo@luggi

Fixe:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11225
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL


neustarten--> in den abgesicherten Modus und scanne mit escan. Dann loesche alles, was angezeigt wird als infiziert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2005, 17:14
luggi
Member

Themenstarter

Beiträge: 32
#89 hi Sabine,

danke für die rasche Antwort, ich habe nur ein kleines Problem :-). Normal löscht man ja indem man die Daten markiert und auf Entf oder auf rechte Maustaste löschen geht - das klappt bei mir aber nicht, leider.

Wie lösche ich denn nachdem ich mit escan gescannt habe?

Vielen Dank!

Lukas
Seitenanfang Seitenende
23.01.2005, 00:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#90 Hallo@luggi

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

kopiere dann den kompletten Pfad ein:

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.01.2005 um 00:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »