| |
| |||||||
Log-Analyse und Auswertung: Desktophijack ist nicht wegzukriegen - brauche HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.07.2005, 22:51
| #1 |
| |  Desktophijack ist nicht wegzukriegen - brauche Hilfe Hallo Profis ! Habe mir was eingefangen (Smitfraud.c / AntivirusGold/ Popuper / Desktophijack) und benötige nun Hilfe da ich beim Entfernen nur halben Erfolg hatte. Habe mit HijackThis wenigstens den blauen Eingangs-Bildschirm mit der Warnung wegbekommen. Auch die Popuper sind Dank eines runtergeladenen Programmes weg (popuper_remover.exe) Das dämliche schwarze Hintergrundbild (Warning - your in danger ...) ist allerdings immer noch da. Auch sind Einträge in dem Log-File, die vermutlich nicht dahin gehören. Bin da etwas unerfahren und ängstlich die gleich wegzulöschen... Kann da einer helfen ? Besten Dank schon mal im Voraus Viele Grüsse Smirre_WG Hier noch der aktuelle Logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:36:35, on 19.07.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\WINDOWS\MHOTKEY.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\FPPDIS2A.EXE C:\WINDOWS\SYSTEM\MSMSGS.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\MESSENGER\MSMSGS.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.fastwebfinder.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.findwhatevernow.com/searchband2 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://www.martfinder.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://www.fastwebfinder.com/hp.php F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\SYSTEM\UOEUFE.DLL (file missing) O2 - BHO: Class - {2DB1C7E6-C436-401E-0374-ECF3202CF49B} - C:\WINDOWS\APPJA.DLL (file missing) O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [<H] c:\Windows\System\<HEAD> O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\Windows\System\ <TITLE>Error</TITLE> O4 - HKLM\..\Run: [</H] c:\Windows\System\</HTML> O4 - HKLM\..\Run: [<B] c:\Windows\System\<BODY> O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\Windows\System\The site you have requested doesn't exist. O4 - HKLM\..\Run: [] c:\Windows\System\ O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\Windows\System\The associated domain name has probably been reserved by a client from O4 - HKLM\..\Run: [<A HREF="http://www.gandi.net/">GANDI</A> then par] c:\Windows\System\<A HREF="http://www.gandi.net/">GANDI</A> then parked. O4 - HKLM\..\Run: [</B] c:\Windows\System\</BODY> O4 - HKLM\..\Run: [ATLLS32.EXE] C:\WINDOWS\SYSTEM\ATLLS32.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] "C:\WINDOWS\SYSTEM\fppdis2a.exe" /source=HKLM O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [IEGS32.EXE] C:\WINDOWS\IEGS32.EXE O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background O4 - HKCU\..\Run: [od-stnd520] c:\programme\Webdialer\od-stnd520.exe -m O4 - HKCU\..\Run: [<H] c:\Windows\System\<HEAD> O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\Windows\System\ <TITLE>Error</TITLE> O4 - HKCU\..\Run: [</H] c:\Windows\System\</HTML> O4 - HKCU\..\Run: [<B] c:\Windows\System\<BODY> O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\Windows\System\The site you have requested doesn't exist. O4 - HKCU\..\Run: [] c:\Windows\System\ O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\Windows\System\The associated domain name has probably been reserved by a client from O4 - HKCU\..\Run: [<A HREF="http://www.gandi.net/">GANDI</A> then par] c:\Windows\System\<A HREF="http://www.gandi.net/">GANDI</A> then parked. O4 - HKCU\..\Run: [</B] c:\Windows\System\</BODY> O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.claranet.de/user_portal/ O19 - User stylesheet: c:\windows\my.css (file missing) Geändert von Smirre_WG (19.07.2005 um 23:20 Uhr) |
| Themen zu Desktophijack ist nicht wegzukriegen - brauche Hilfe |
| askbar, bho, brauche hilfe, danger, entfernen, error, explorer, helfen, hijackthis, internet, internet explorer, log-file, logfile, messenger, microsoft, msn, msn messenger, nicht wegzukriegen, popuper, realplay.exe, realplayer, regsvr32, rundll32.exe, software, system, system tool, träge, warning, warnung, windows |
Baum-Darstellung