Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte prüft mal nach...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 13.01.2005, 18:54   #1
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



Hallo!
Habe mir auch etwas eingefangen, weiß aber nicht was ich jetzt alles fixen soll:
Vielelicht kann mir jemanden helfen. DAnke im vorraus...

Logfile of HijackThis v1.99.0
Scan saved at 18:18:35, on 13.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBWASHER\WWASHER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP6.EXE
C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL

Alt 13.01.2005, 19:11   #2
chaosman
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@Paddy80
wechsle in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL
die datei manuell löschen
C:\WINDOWS\SYSTEM\CIKG.DLL
neu starten, neues HJT logfile posten
chaosman
__________________

__________________

Alt 13.01.2005, 20:10   #3
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@chaosman
Danke für die Infos. hab die Sachen gefixt. Aber die C:\WINDOWS\SYSTEM\CIKG.DLL hab ich nicht gefunden (auch wenn versteckte dateien mit angezeigt werden).
Beim Start von Windows wird immer als erstes gleich eine DFÜ -Verbindung versucht aufzubauen. Jetzt nach dem Neustart schon wieder. Irgenwas ist wohl immer noch faul.

Aktuelle Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 19:45:15, on 13.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL
__________________

Alt 13.01.2005, 21:43   #4
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



Hab inzwischen nocheinam escan über meinen pc laufen lassen und dort wurde folgendes gefunden:
File C:\WINDOWS\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\ied.exe infected by "Trojan-Downloader.Win32.Mediket.m" Virus. Action Taken: No Action Taken.

Kann mir jemand sagen, ob ich diese beiden dateien bedenkenlos löschen kann ?

Danke, im Vorraus.

Alt 13.01.2005, 21:52   #5
chaosman
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@Paddy80
die dateien in abgesicherten modus bei deaktivieren systemwiederherstellung manuell löschen.
chaosman

__________________
Bonus vir semper tiro

Alt 13.01.2005, 22:29   #6
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@chaosman:
wie deaktiviere ich die systemwiederherstellung, wenn ich in den abgesicherten modus gehe?

die ied.exe hat sich im abgesicherten modus löschen lassen.

File C:\WINDOWS\System32\delaybuf.dll : hier sagt er mir : Wird von windows verwendet, kann nicht gelöscht werden.

Naja, werd die Sache morgen abend nochmal angehen.

Alt 14.01.2005, 04:03   #7
Shadowdance
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@ Paddy80

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen:

C:\WINDOWS\SYSTEM\ied.exe

3.) --> Cidre und Chaosman zum löschen von DLL's zitiert:
"[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen:

C:\WINDOWS\System32\delaybuf.dll

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.

Erstelle bitte ein neues HJT-Logfile und poste es.

Alt 14.01.2005, 05:40   #8
charlie1
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



Hallo Leute, der Mensch hat win 98! nix mit Systemwiederherstellung.
LG, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 14.01.2005, 05:47   #9
Shadowdance
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



juchuuu .. hier ist ja noch einer wach und prüft nach ...

Hallo Paddy80,

vergiss die Systemwiederherstellung .. die hast Du nicht ;-) Aber den abgesicherten Modus hast Du ... es bleibt also alles wie gehabt, nur die Systemwiederherstellung musst Du weder deaktivieren noch aktivieren, denn das geht bei win 98 nicht.

Alt 14.01.2005, 18:29   #10
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@ shadowdance

Ja bin noch ein alter Win98er und auch keine großer experte ;-)

Also im abgesicherten Modus lässt sich die delaybuf.dll nicht löschen:

delaybuf kann nicht gelöscht werden: Die angegebene Datei wird von Windows verwendet.

Hab mir winfile.exe runtergeladen, läuft aber auch nicht:
Die Datei WINFILE.EXE ist verknüpft mit dem fehlenden Export-SHELL32.DLL:StrChrW.

Alt 15.01.2005, 16:41   #11
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



Hallo, mein Problem ist immern noch aktuell:

C:\WINDOWS\System32\delaybuf.dll

verseucht und lässt sich nicht im abgesicherten Modus löschen.
Kann mir jemand nochmal nen Tipp geben?

Hab auch nochmal online bei Jotti (si wie in andereren Forenbeiträgen gepostet) gescannt:

ervice load:
0% 100%
File: delaybuf.dll
Status:
INFECTED/MALWARE
Packers detected:
None

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.36 seconds taken)
ClamAV
No viruses found (0.44 seconds taken)
Dr.Web
No viruses found (0.54 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Small.agb (0.65 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
No viruses found (0.41 seconds taken)
Norman Virus Control
No viruses found (0.13 seconds taken)

Alt 15.01.2005, 16:47   #12
chaosman
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@Paddy80
versuch es doch mal mit AmokDelay
download hier
anders über regedit....
chaosman
__________________
Bonus vir semper tiro

Alt 15.01.2005, 17:14   #13
Paddy80
 
Bitte prüft mal nach... - Standard

Bitte prüft mal nach...



@chaosman

Zitat:
Zitat von chaosman
versuch es doch mal mit AmokDelay
Hat geklappt ;-) Ich dank dir vielmals für den Tipp und die unkoplizierte Hilfe.

DANKE!

Antwort

Themen zu Bitte prüft mal nach...
acrobat, adobe, antivirus, bho, button, danke, dateien, digital, explorer, file missing, hijack, hijackthis, internet, internet explorer, logitech, messenger, microsoft, msn, msn messenger, programme, registry, rundll, rundll32.exe, software, system, temp, windows, windows\temp


« hilfe | wuampd.exe »

Ähnliche Themen: Bitte prüft mal nach...


  1. Zweiter US-Einzelhändler prüft Hacker-Angriff
    Nachrichten - 11.01.2014 (0)
  2. Prüft Norton Internet Security alle .EXE-Files vor deren Ausführung oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 27.09.2013 (7)
  3. Chrome 26 prüft Rechtschreibung
    Nachrichten - 27.03.2013 (0)
  4. Bitte prüft das mal. Windowsabsturz
    Alles rund um Windows - 24.12.2012 (1)
  5. Datenschützer prüft alle 22 Trojanereinsätze in Bayern
    Nachrichten - 24.11.2011 (0)
  6. Mac OS X Lion prüft Passwörter bei Authentifizierung via LDAP nicht
    Nachrichten - 23.08.2011 (0)
  7. Virenscanner AVG 2011 prüft Short-URLs
    Nachrichten - 01.10.2010 (0)
  8. Virenscanner AVG 11 prüft Short-URLs
    Nachrichten - 01.10.2010 (0)
  9. Twitter prüft Links in Direktnachrichten
    Nachrichten - 10.03.2010 (0)
  10. VeriSign prüft Websites auf Malware
    Nachrichten - 23.02.2010 (0)
  11. Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
    Nachrichten - 17.06.2009 (0)
  12. Wer ist so nett und prüft mein Log-File?
    Mülltonne - 19.01.2008 (0)
  13. Wer prüft bitte meine HiJackThis Logfile
    Log-Analyse und Auswertung - 06.06.2006 (5)
  14. Bitte prüft mein Logfile, habe Agent.AY
    Log-Analyse und Auswertung - 12.03.2006 (1)
  15. Bitte prüft mal mein Logfile!
    Log-Analyse und Auswertung - 25.11.2005 (2)
  16. Bitte prüft mal mein Log-File
    Log-Analyse und Auswertung - 21.11.2005 (1)
  17. Bitte prüft mal meine LOG- DANKE
    Log-Analyse und Auswertung - 07.04.2005 (1)

Zum Thema Bitte prüft mal nach... - Hallo! Habe mir auch etwas eingefangen, weiß aber nicht was ich jetzt alles fixen soll: Vielelicht kann mir jemanden helfen. DAnke im vorraus... Logfile of HijackThis v1.99.0 Scan saved at - Bitte prüft mal nach......
Archiv
Du betrachtest: Bitte prüft mal nach... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.