| |
| |||||||
Log-Analyse und Auswertung: Virus im ArchivWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
08.12.2004, 17:35
| #1 |
 |  Virus im Archiv Sevus. ich habe gestern 5 Viren oder andere gefährliche Programme auf meinem PC gefunden. Mein AntiVir kann sie nicht löschen, da sie in einem Archiv sind. Ich habe mir vorhin HijackThis herrunter geladen, weis aber nicht allzuviel damit anzufangen. Hier folgt gleich der HijackThis scann. Ich hoffe mir kann jemand helfen. Ich habe im übrigen net wirklich viel Ahnung von PCs also wär es schön wenn man mir die zu erledigen Schritte vereinfacht erklären könnte. Logfile of HijackThis v1.98.2 Scan saved at 17:30:19, on 08.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 Vielen Dank schonmal. Mfg. Pudarusa |
|
08.12.2004, 18:48
| #2 |
| Administrator, a.D.   | Virus im Archiv Hallo,
__________________poste mal den genauen Pfad der einzelnen Funde. Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing) O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ |
|
11.12.2004, 21:40
| #3 |
| | Virus im Archiv das kam bei eScan herraus:
__________________File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[2].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[3].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[4].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[1].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[2].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\installer[1].htm infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[1].php infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[2].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[3].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[1].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[2].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript_loader[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken. Und mein HijackThis sieht folgendermaßen aus: Logfile of HijackThis v1.98.2 Scan saved at 21:37:24, on 11.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\eMule\emule.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 Danke schonmal. |
|
11.12.2004, 21:50
| #4 |
| | Virus im Archiv @Puderusa lade dir hier clearprog programm starten, alle häkchen bei windows und IE setzen, löschen. dann bist du das meiste los. den hier würde ich in abgesicherten modus manuell löschen File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus neu starten chaosman
__________________ Bonus vir semper tiro |
|
11.12.2004, 22:48
| #5 |
| | Virus im Archiv ich habe jetzt bei Windows alle häkchen gemacht und gelöscht. Beim löschen von den Tempo. Internet Files (Cache) im IE bleibt das programm allerdings immer hängen. Den rest konnte ich problemlos löschen........ |
|
11.12.2004, 22:52
| #6 |
| | Virus im Archiv
__________________ --> Virus im Archiv |
|
29.12.2004, 21:01
| #7 |
| | Virus im Archiv Sorry das ich mich solang net gemeldet habe. Hatte zuviel Stress. Nur um nochmal genau nach zu fragen: Das löschen von: File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus Da soll ich jetzt also unter system32 nach intron.exe schauen und den einfach löschen???? Weil mir das löschen unter dem Windows ordner ist mir net so ganz geheuer. zumal ich mal meinen AntiVir über diese Datei habe laufen lassen und dieser mir nichts anzeigt. |
|
29.12.2004, 21:08
| #8 | ||
| Administrator, a.D. | Virus im ArchivZitat:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Zitat:
|
|
29.12.2004, 21:21
| #9 |
| | Virus im Archiv Ich krieg gerade die Kriese.  Jetzt habe ich des intron.exe ding gelöscht und jetzt zeigt mir eScan diesen Schmarn hier an: File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. Die waren vorher noch net da. soll ich diese auch wieder löschen?? (dumme Frage natürlich) Aber das irritiert mich schon ein bissl. |
|
29.12.2004, 21:25
| #10 |
| | Virus im Archiv @Pudarusa kuckst du hier http://sarc.com/avcenter/venc/data/p...artpage.b.html in den abgesicherten modus wechseln und manuell löschen. escan hat ein hohe erkennungsrate. chaosman
__________________ Bonus vir semper tiro |
|
29.12.2004, 21:31
| #11 |
| Administrator, a.D. | Virus im Archiv Nur zum Verständnis: Bist du mit dem kompromittierten Rechner im Moment online? Wenn JA, dann schleunigst alle beenden und in den abgesicherten Modus wechseln. Sonst werden sich noch mehr Datei urplötzlich erstellen! |
|
29.12.2004, 21:35
| #12 |
| | Virus im Archiv sorry aber das Versteh ich jetzt gerade net so wirklich. was ich jetzt mit dem Link anfangen soll hab ich auch keine Ahnung. Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen? |
|
29.12.2004, 21:44
| #13 |
| | Virus im Archiv @Pudarusa warum postet man links? zum nachlesen. Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen? wie Cidre schon postete, so schnell wie möglich! chaosman
__________________ Bonus vir semper tiro |
|
29.12.2004, 22:02
| #14 |
| | Virus im Archiv Ja entschuldigung, das ich wegen dem Link nochmal nachgefragt habe mein Englisch ist net das beste habe erst net ganz gerafft, was mir das bringen sollte. Aber ich glaube, jetzt hat es geklappt.  Juchu Party!!!!!! eScan zeigt mir nichts mehr an. Hätte dann aber noch ne Frage: Habe mir gestern auch die neue Version von HijackThis heruntergeladen und das dann mal mit der Automatischen Auswertung getestet. da kam bei mir aber bei raus, das einige Programme nicht erkannt werden konnten. Könntet ihr eventuell mal einen Blick darauf werfen? Logfile of HijackThis v1.99.0 Scan saved at 21:55:30, on 29.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
29.12.2004, 22:08
| #15 |
| Administrator, a.D. | Virus im Archiv Fixe diesen Eintrag: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz Ansonsten sehe ich keine Auffälligkeiten mehr. |
|
| Themen zu Virus im Archiv |
| .inf, adobe, antivir, bho, cs3, explorer, file missing, hijack, hijackthis, home, internet, internet explorer, logfile, löschen, microsoft, object, programme, rundll, rundll32, scan, software, system, tcpip, temp, urlsearchhook, viren, virus, windows, windows messenger, windows xp |
Linear-Darstellung
