Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Diese penetranten IEXPLORER-Prozesse :( (https://www.trojaner-board.de/38599-diese-penetranten-iexplorer-prozesse.html)

iZZoshiZ 04.05.2007 12:59
Diese penetranten IEXPLORER-Prozesse :(
 
willkommen...

Habe das gleiche Problem wie viele andere,
bei mir öffnet sich ab und an (vor allem wenn ich über steam spiele) der IEXPLORER mit irgendwelchem Werbesch*** und es laufen IMMER 2-3 IEXPLORER.exe's als Prozesse die sich nicht beenden lassen. benutze aber NUR firefox - NIE iexplorer

hier mein LOG: (v. gestern)

Logfile of HijackThis v1.99.1
Scan saved at 19:01:02, on 03.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDe t.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RC Man.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\usnsvc.exe
S:\Spiele\Valve\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\msiexec.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDe t.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RC Man.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Beep Bits] C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\ONLINE TRUST SHOW.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - S:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - S:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

danke im vorraus, hoffentlich könnt ihr mir schnell helfen. denn ich merke schon das meine verbindung sehr darunter leidet.

nochdigger 04.05.2007 13:36
Hallo

mach bitte alle versteckten Dateien und Ordner sichtbar und deaktiviere den Teatimer von Spybot S&D.

Arbeite diese Anleitung ab --> Swizzor entfernen
Der relevante Eintrag für dich ist :
O4 - HKCU\..\Run: [Beep Bits] C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\ONLINE TRUST SHOW.exe

erstelle nach der Bereinigung bitte ein neues Hijackthis log, benenne die Hijackthis.exe nun vorher um in z.B. ABC.exe und erstelle das neue log.

MFG

iZZoshiZ 04.05.2007 13:54
versteckte ordner etc. hab ich gemacht, wie stell ich den Teatimer aus???

und zu der Swizzor-Anleitung -> den Netpumper hab ich schon vor längerem gelöscht. Jetzt einfach in den abgesicherten Modus und ONLINE TRUST SHOW.exe löschen???
und wie fix ich was mit Hijackthis... das versteh ich nicht ganz

nochdigger 04.05.2007 14:46
Hallo

Zitat:
wie stell ich den Teatimer aus???
Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" --> klicke auf "Resident"
--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.

Zitat:
wie fix ich was mit Hijackthis...
starte Hijackthis mit der Option - do a systemscan only - und hake den entsprechenden Eintrag an, nun klicke auf - fix checked - und beende Hijackthis.

Zitat:
Jetzt einfach in den abgesicherten Modus und ONLINE TRUST SHOW.exe löschen???
Jupp, lösche am besten gleich den gesamten Ordner in der sich die *.exe befindet.

Erstelle, wie schon gesagt, ein neues HJTlog.

MFG

iZZoshiZ 04.05.2007 18:44
ok... mercy.

ich komm nicht in den abgesicherten Modus :eek:
-> nur schwarzer Bildschirm mit blinkender space-taste... ?why?

was auch seltsam ist, beim hochfahren, kommt nur die Asus-Page danach gleich das Windows-KnightRider-Fenster...dazwischen kurz blinkende-spacetaste

:schmoll:

nochdigger 04.05.2007 18:59
Hallo

dann versuchen wir es mal so...

Kopiere den folgenden Text :

Zitat:
cd\
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt
in den Editor (Start - Programme - Zubehör - Editor) kopieren und als Ordner.bat mit 'Speichern unter' auf dem Desktop ablegen und gebe bei Dateityp 'Alle Dateien' an,
du solltest jetzt auf dem Desktop diese Datei finden --> Ordner.bat --> dann die Ordner.bat doppelt klicken (nur 1x) --> unter C:\files.txt findest du die Informationen die uns nun interssieren,
kopiere den Text ab und poste ihn hierher.

MFG

iZZoshiZ 04.05.2007 19:10
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

24.02.2007 15:45 <DIR> Adobe
29.03.2007 19:11 <DIR> Aspyr
09.04.2007 23:32 <DIR> cash poke dupe way
16.02.2007 12:33 <DIR> Downloaded Installations
04.05.2007 02:17 <DIR> Google
10.02.2007 05:08 <DIR> NVIDIA
10.02.2007 01:46 <DIR> nView_Profiles
16.02.2007 12:34 <DIR> PC Suite
11.02.2007 12:48 <DIR> Skype
03.05.2007 11:54 <DIR> Spybot - Search & Destroy
10.02.2007 01:59 4.672 xml37.tmp
10.02.2007 01:59 3.196 xml38.tmp
19.02.2007 10:37 <DIR> Yahoo! Companion
2 Datei(en) 7.868 Bytes
11 Verzeichnis(se), 4.984.815.616 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten

24.02.2007 15:45 <DIR> Adobe
20.02.2007 20:53 <DIR> Ahead
09.04.2007 22:20 <DIR> Command & Conquer 3 Tiberium Wars
09.03.2007 01:12 <DIR> Command & Conquer 3 Tiberium Wars Demo
10.02.2007 01:15 <DIR> Creative
16.02.2007 12:41 <DIR> Datalayer
20.02.2007 18:04 <DIR> dvdcss
02.04.2007 20:10 <DIR> FrostWire
04.05.2007 02:12 <DIR> Hamachi
20.03.2007 18:07 <DIR> Help
10.02.2007 02:13 <DIR> ICQLite
10.02.2007 00:27 <DIR> Identities
03.03.2007 23:44 <DIR> InstallShield
03.05.2007 11:55 <DIR> Lavasoft
10.02.2007 02:07 <DIR> Macromedia
11.02.2007 22:44 <DIR> Mozilla
09.04.2007 23:30 <DIR> NetPumper
02.04.2007 23:39 <DIR> Nokia
02.04.2007 23:39 <DIR> Nokia Multimedia Player
10.02.2007 01:52 <DIR> Opera
16.02.2007 12:33 <DIR> PC Suite
02.04.2007 20:05 <DIR> Real
28.03.2007 22:43 <DIR> SecondLife
09.04.2007 23:33 <DIR> Sendfragcake
27.04.2007 18:23 <DIR> Skype
02.05.2007 21:21 <DIR> SopCast
11.02.2007 18:40 <DIR> Sun
10.02.2007 04:25 <DIR> vlc
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 4.984.815.616 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Windows\tasks

04.04.2007 09:24 502 00-bone_thugs-n-harmony-behind_the_harmony-retail-2006-jrp.job
1 Datei(en) 502 Bytes
0 Verzeichnis(se), 4.984.815.616 Bytes frei

bitte schön :D

nochdigger 05.05.2007 05:16
Hallo

na da haben wir sie doch...

Lade dir die KillBox runter und entpacke es in einen eigenen Ordner.
Starte die Killbox und wähle "Delete on Reboot", dann kopiere folgende Pfade in das weiße Feld :

Code:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cash poke dupe way

C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\NetPumper

C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\Sendfragcake
--> rotes X anklicken --> die folgende Frage mit "JA" und die nächste mit "NEIN" beantworten
--> nächsten Pfad einfügen usw. --> erst wenn du bei der letzten Datei angekommen bist, beantworte beide Fragen mit "JA" und dein Rechner wird Neustarten.
Killbox legt für gewöhnlich Kopien der gelöschten Dateien im Killboxordner ab, lösche diese Dateien.
Erstelle ein neues Hijackthis Log, kontrolliere ob die Ordner gelöscht wurden und berichte.

MFG

iZZoshiZ 05.05.2007 14:18
ok...problem.
da kommt nur EINE frage nachdem ich das rote X anklicke.
Er will gleich rebooten :confused:

einfach alle drei nacheinander löschen und jeweils GLEICH rebooten?

nochdigger 05.05.2007 14:23
Hallo

Zitat:
einfach alle drei nacheinander löschen und jeweils GLEICH rebooten?
:rolleyes:
Zitat:
Zitat von nochdigger
--> rotes X anklicken --> die folgende Frage mit "JA" und die nächste mit "NEIN" beantworten
--> nächsten Pfad einfügen usw. --> erst wenn du bei der letzten Datei angekommen bist, beantworte beide Fragen mit "JA" und dein Rechner wird Neustarten.
soweit klar?

iZZoshiZ 05.05.2007 14:28
ja natürlich, aber wie gesagt, da kommt NUR eine frage nachdem ich den pfad einfüge - und zwar frägt er mich gleich ob ich neustarten will - und du meintest ich solle erst JA dann NEIN anklicken... :confused:

MightyMarc 05.05.2007 14:32
Zitat:
Zitat von iZZoshiZ (Beitrag 266728)
ja natürlich, aber wie gesagt, da kommt NUR eine frage nachdem ich den pfad einfüge - und zwar frägt er mich gleich ob ich neustarten will - und du meintest ich solle erst JA dann NEIN anklicken... :confused:
Die Frage nach dem Neustart bejahst Du erst, wenn Du die letzte Daie angeben hast.

nochdigger 05.05.2007 14:33
Hallo

den Neustart verneinen nächsten Ordner auswählen usw. erst nach dem letzten Ordner neustarten lassen.

MFG

EDITH Moin Marc

iZZoshiZ 05.05.2007 14:37
perfekt! :D
jetz ham ma's :D

ein momentchen noch...

iZZoshiZ 05.05.2007 14:42
:(

-> keine kopien im Killbox Ordner

-> O4 - HKCU\..\Run: [Beep Bits] C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\ONLINE TRUST SHOW.exe immer noch da

-> IEXPLORER.exe's auch

:(

MightyMarc 05.05.2007 14:55
Kleiner Ausflug:

1. Kopiere folgenden Text in eine Textdatei und speicher sie mit dem Namen "delvir.bat" im Ordner C:\windows ab:
Code:
del /F /S /Q "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cash poke dupe way\*.*"
del /F /S /Q C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\NetPumper\*.*"
del /F /S /Q C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\Sendfragcake\*.*"
2. Installiere die Wiederherstellungskonsole wie folgt:
Zitat:
1. Legen Sie Ihre Windows-XP-CD in Ihr CD-ROM-Laufwerk ein.
2. Klicken Sie auf Start und anschließend auf Ausführen.
3. Geben Sie im Feld Öffnen die Zeichenfolge d:\i386\winnt32.exe /cmdcons ein, wobei d der Laufwerksbuchstabe für das CD-ROM-Laufwerk ist.
4. Ein Windows Setup-Dialogfeld wird angezeigt. Ein Windows Setup-Dialogfeld wird angezeigt, in welchem die Option "Wiederherstellungskonsole" beschrieben wird. Bestätigen Sie die Installation mit einem Klick auf Ja.
5. Starten Sie den Computer neu. Wenn Sie den Computer das nächste Mal starten, wird im Startmenü der Eintrag "Microsoft Windows-Wiederherstellungskonsole" angezeigt.
3. Beim Booten wählst Du die Wiederherstellungskonsole aus. Wenn das Passwort für den Account "Administrator" abgefragt wird, gibt es ein. Solltest Du es nicht wissen, drück einfach ENTER.

4. Tippe nun delvir.bat und drücke ENTER. Wenn der Spuk vorbei ist tippe exit und drücke ENTER. Boote wieder normal ins Windows und prüfe, ob die Dateien wirklich gelöscht wurden.

Gruß

Marc

nochdigger 05.05.2007 15:33
Hallo

Hallo Marc ist dieses Leerzeichen gewollt?
Zitat:
...\NetPumper\*_.*"
("mein eingefügter Unterstrich" wenn nicht evtl. als code posten?)

MFG

MightyMarc 05.05.2007 15:36
Zitat:
Zitat von nochdigger (Beitrag 266746)
Hallo
Hallo Marc ist dieses Leerzeichen gewollt?
("mein eingefügter Unterstrich" wenn nicht evtl. als code posten?)
War nur ein Test, ob hier jemand mitliest und aufpasst :daumenhoc

iZZoshiZ 06.05.2007 20:54
ok, mercy mercy ... aber leider funktioniert es nicht.

habe alles so gemacht wie du schriebst. doch wenn ich in der Wiederherstellungskonsole(nach dem booten) delvir.bat eingeb, nimmt er dies nicht an -> ungültige eingabe oder sowas erscheint...

:confused:

MightyMarc 06.05.2007 21:03
Zitat:
Zitat von iZZoshiZ (Beitrag 267116)
habe alles so gemacht wie du schriebst. doch wenn ich in der Wiederherstellungskonsole(nach dem booten) delvir.bat eingeb, nimmt er dies nicht an -> ungültige eingabe oder sowas erscheint...
Sorry, mein Fehler. Batchdateien funktionieren leider nicht in der Wiederherstellungskonsole. Kein Grund zur Panik.

Gehe in die Wiederherstellungskonsole und gebe die Zeilen manuell ein. Jede Zeile exakt so, wie sie hier steht (auch mit den ""). Jede Zeile bestätigst Du mit ENTER.

Code:
del /F /S /Q "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cash poke dupe way\*.*"
del /F /S /Q "C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\NetPumper\*.*"
del /F /S /Q "C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten\Sendfragcake\*.*"
Gruß

Marc

iZZoshiZ 06.05.2007 21:34
ungültiger Parameter :confused:

genau nach C:\Windows\ hab ich angefangen es genau so einzutippen. Mit jeder Leerzeile und jedem " ...

ich probiere es nochmal schnell, was sonst?!

--> nein leider nichts :(

MightyMarc 06.05.2007 22:04
Zitat:
Zitat von iZZoshiZ (Beitrag 267124)
ungültiger Parameter :confused:

genau nach C:\Windows\ hab ich angefangen es genau so einzutippen. Mit jeder Leerzeile und jedem " ...

ich probiere es nochmal schnell, was sonst?!

--> nein leider nichts :(

Ich teste das mal bei mir und schaue, ob ein Fehler im Syntax vorliegt oder ein Fehler auf Deinem Rechner ursächlich ist.

Edit:

Ok, was ich bisher nicht wusste ist, dass die Konsole nicht nur bezüglich der Kommandos eingeschränkt ist, sondern auch bezüglich der Kommandos.

Ich würde vorschlagen mit Knoppix zu booten. Allerdings besteht das Risiko eines Datenverlusts. Bart PE scheint mir dann doch etwas zu komplex von der Vorbereitung her. Von daher gebe ich die Sache an dieser Stelle mal zur Diskussion frei.

iZZoshiZ 07.05.2007 20:55
danke dir auf jeden fall ...

brauch da unbedingt ne Lösung! Formatieren geht ja mal gar nicht -> zuviel wichtiges zeus und die platten sind einfach zu groß

-> diese scheiss malware zieht meinen PC so derbe runter ... hält sich zwar noch in grenzen aber im inet merk ichs ohne ende :( :( :( :( :(
geht ja mal gar nich

H E L P

erty 07.05.2007 21:04
Hast du vielleicht noch irgendwo 'ne win98 cd rumliegen? Mit der booten und dann die befehle asuführen? vielleicht klappt es?!

wie lange hast du auf den abgesicherten Modus (mit blinkender space-taste) gewartet? Das kann auch mal länger dauern, vielleicht einfach nochmals versuchen und etwas länger warten.

iZZoshiZ 07.05.2007 23:10
:dummguck: ähm ja ... da hätt ich wohl doch mehr geduld mit dem abgesichertem Modus haben sollen :rolleyes:

voila!

========================================================
Logfile of HijackThis v1.99.1
Scan saved at 00:03:03, on 08.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HijackThis\ABC.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Beep Bits] C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\ONLINE TRUST SHOW.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - S:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - S:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
=======================================================
alles wieder fein? nochwas zu erledigen?

im Abg-Modus konnt ich den net pumper nicht finden... ist wohl schon wech

die Prozesse auch... puuuuhhhhh

diggen dank euch allen....Dreien ;) :daumenhoc
muss jetz schleunigst ins bett -> arbeit :zzwhip:

nochdigger 08.05.2007 06:54
Moin

da ist noch einer aktiv...
fixe diesen Eintrag mit Hijackthis :

O4 - HKCU\..\Run: [Beep Bits] C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\ONLINE TRUST SHOW.exe

und anschließend wechsel direkt in den abgesicherten Modus.

Lösche diesen Ordner :

C:\DOKUME~1\iZZoshiZ\ANWEND~1\SENDFR~1\

leere den Papierkorb und starte deinen Rechner neu in den normalen Modus, jetzt solltest du alles los sein (Java könnte ein update ab).

MFG

iZZoshiZ 08.05.2007 20:26
ok ... im hijackthis-log is der eintrag weg ... aber im abgesicherten modus hab ich den eintrag Sendfrag\OnlineTrustShow nicht gefunden!?!!

S&D hat beim hochfahren aber schon angezeigt ob ich BeepBits verbieten soll (was ich natürlich getan habe)
sollte S&D nur an sein wenn es gebraucht wird?!

nochdigger 08.05.2007 21:40
Nabend

Zitat:
ok ... im hijackthis-log is der eintrag weg ... aber im abgesicherten modus hab ich den eintrag Sendfrag\OnlineTrustShow nicht gefunden!?!!
lies meinen post nochmal gaaanz langsam und gleich nochmal.
Du solltest den Eintrag im NORMALEN Modus fixen und dann......

MFG

iZZoshiZ 09.05.2007 13:26
ähm... gaaaanz langsam: das habe ich getan - gefixt im normalen - gesucht im abgesicherten -> keine spur von sendfr~ und/oder OnlineTrust

nochdigger 09.05.2007 14:17
Hallo

hattest du den Teatimer deaktiviert?

Lass bitte nochmal die Ordner.bat laufen.

MFG

iZZoshiZ 09.05.2007 20:20
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

24.02.2007 15:45 <DIR> Adobe
29.03.2007 19:11 <DIR> Aspyr
16.02.2007 12:33 <DIR> Downloaded Installations
04.05.2007 02:17 <DIR> Google
10.02.2007 05:08 <DIR> NVIDIA
10.02.2007 01:46 <DIR> nView_Profiles
16.02.2007 12:34 <DIR> PC Suite
11.02.2007 12:48 <DIR> Skype
03.05.2007 11:54 <DIR> Spybot - Search & Destroy
10.02.2007 01:59 4.672 xml37.tmp
10.02.2007 01:59 3.196 xml38.tmp
19.02.2007 10:37 <DIR> Yahoo! Companion
2 Datei(en) 7.868 Bytes
10 Verzeichnis(se), 5.045.608.448 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Dokumente und Einstellungen\iZZoshiZ\Anwendungsdaten

24.02.2007 15:45 <DIR> Adobe
20.02.2007 20:53 <DIR> Ahead
09.04.2007 22:20 <DIR> Command & Conquer 3 Tiberium Wars
09.03.2007 01:12 <DIR> Command & Conquer 3 Tiberium Wars Demo
10.02.2007 01:15 <DIR> Creative
16.02.2007 12:41 <DIR> Datalayer
20.02.2007 18:04 <DIR> dvdcss
02.04.2007 20:10 <DIR> FrostWire
04.05.2007 02:12 <DIR> Hamachi
20.03.2007 18:07 <DIR> Help
10.02.2007 02:13 <DIR> ICQLite
10.02.2007 00:27 <DIR> Identities
03.03.2007 23:44 <DIR> InstallShield
03.05.2007 11:55 <DIR> Lavasoft
10.02.2007 02:07 <DIR> Macromedia
11.02.2007 22:44 <DIR> Mozilla
02.04.2007 23:39 <DIR> Nokia
02.04.2007 23:39 <DIR> Nokia Multimedia Player
10.02.2007 01:52 <DIR> Opera
16.02.2007 12:33 <DIR> PC Suite
02.04.2007 20:05 <DIR> Real
28.03.2007 22:43 <DIR> SecondLife
07.05.2007 19:49 <DIR> Skype
02.05.2007 21:21 <DIR> SopCast
11.02.2007 18:40 <DIR> Sun
10.02.2007 04:25 <DIR> vlc
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 5.045.608.448 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8831-318C

Verzeichnis von C:\Windows\tasks

04.04.2007 09:24 502 00-bone_thugs-n-harmony-behind_the_harmony-retail-2006-jrp.job
1 Datei(en) 502 Bytes
0 Verzeichnis(se), 5.045.608.448 Bytes frei

alles weg... so wie ich das sehe

ps: deaktiviert ja!


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131