|
Werbefenster Hallo, In meinem IE öffnen sich dauernt so nervige Werbefenster u.a. auch CiD. Ich habe XP. Ich habe schon einges versucht, kriege die aber nicht weg. Würde mich freuen wenn ihr mir helfen könnt. Liebes Grüßle |
|
Danke! So hab ich gemacht, hier: Logfile of HijackThis v1.99.1 Scan saved at 14:04:18, on 10.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\cisvc.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Viewpoint\Common\ViewpointService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\keyhook.exe C:\Program Files\Arcade\PCMService.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\Atheros\ACU.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\Shared Files\CamTray.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\RtkBtMnt.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA15670} - C:\WINDOWS\system32\mag_hool32.dll (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll (file missing) O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [Bore Load File Once] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mscheck] C:\WINDOWS\system32\mscheck.exe O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ROAD ITCH AMOK PING] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch\BYTE LITE.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe" O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [book ante] C:\DOKUME~1\NADINE~1\ANWEND~1\ELSEPL~1\AXISNEW.exe O4 - HKCU\..\Run: [SIM] "C:\Programme\SIM\sim.exe" O4 - HKCU\..\Run: [mscheck] C:\WINDOWS\system32\mscheck.exe O4 - HKCU\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add to QQ Customized Panel - C:\Programme\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: Add to QQ Emoticons - C:\Programme\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send picture by MMS - C:\Programme\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: Send the Picture by QQ MMS - C:\Programme\Tencent\QQ\SendMMS.htm O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156796759875 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.gutchat.de/control/msnchat45.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll O20 - AppInit_DLLs: ssdprasa.dll e1.dll confbrw.dll brwstat.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000140 (file missing) O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
Hi, da hast du ja einiges am Start! Suche bitte mal foglende Dateien und lasse sie bei virustotal auswerten. Poste die Ergebnisse dann hier. :) Zitat:
1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp lg myrtille |
----- Root ----------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\ 10.01.2008 11:09 467.193.856 hiberfil.sys 10.01.2008 11:09 704.643.072 pagefile.sys 09.01.2008 19:24 158 YServer.txt ----- System32 ------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\system32 10.01.2008 11:12 451 eRLog.ini 10.01.2008 11:11 1.158 wpa.dbl 10.01.2008 11:10 336 vsconfig.xml 09.01.2008 18:16 2.550 Uninstall.ico 09.01.2008 18:16 1.406 Help.ico 02.01.2008 19:21 17.642.616 MRT.exe 30.12.2007 15:36 348.160 msvcr71.dll 30.12.2007 15:36 499.712 msvcp71.dll 12.12.2007 23:19 387.268 TZLog.log 11.12.2007 10:57 65.536 QuickTimeVR.qtx 11.12.2007 10:57 49.152 QuickTime.qts ----- Prefetch ------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\Prefetch 10.01.2008 14:50 13.576 CMD.EXE-034B0549.pf 10.01.2008 14:50 11.704 FIND.EXE-0EEAD1A7.pf 10.01.2008 14:50 15.572 VERCLSID.EXE-28F52AD2.pf 10.01.2008 14:45 42.472 LUCOMS~1.EXE-0F5C4231.pf 10.01.2008 14:45 16.698 AUPDATE.EXE-3712CED8.pf 10.01.2008 14:41 60.180 SKYPEPM.EXE-1D416A14.pf 10.01.2008 14:40 32.040 WMIPRVSE.EXE-0D449B4F.pf 10.01.2008 14:40 120.962 SKYPE.EXE-0D322358.pf 10.01.2008 14:29 83.402 IEXPLORE.EXE-360BBB5C.pf 10.01.2008 14:04 19.872 NOTEPAD.EXE-2F2D61E1.pf 10.01.2008 14:03 17.168 HIJACKTHIS.EXE-06C3B4FB.pf 10.01.2008 14:00 22.688 THUNKDEAFGREAT.EXE-2A2AB8BF.pf 10.01.2008 13:56 84.180 MSNMSGR.EXE-19DA9081.pf 10.01.2008 13:55 78.284 YAHOOMESSENGER.EXE-376B1598.pf 10.01.2008 13:55 66.014 AOLSOFTWARE.EXE-2EDF8E0F.pf 10.01.2008 13:55 76.340 AIM6.EXE-28336E1D.pf 10.01.2008 13:53 89.686 ICQLITE.EXE-01822910.pf 10.01.2008 13:30 39.580 DRWTSN32.EXE-01DDCF15.pf 10.01.2008 13:30 98.000 DWWIN.EXE-2C373FB7.pf 10.01.2008 13:30 33.318 IEDW.EXE-062D8B1C.pf 10.01.2008 13:22 39.416 WLLOGINPROXY.EXE-037D8997.pf 10.01.2008 13:20 37.230 RUNDLL32.EXE-3CADD0BA.pf 10.01.2008 13:20 48.578 WUAUCLT.EXE-1360D60A.pf 10.01.2008 13:18 19.782 TASKMGR.EXE-06144C13.pf 10.01.2008 12:42 31.146 LOGONUI.EXE-312BE1BF.pf 10.01.2008 12:38 10.266 LOGON.SCR-24ADF392.pf 10.01.2008 11:58 427.108 Layout.ini 10.01.2008 11:58 16.058 DEFRAG.EXE-2858C7E2.pf 10.01.2008 11:28 54.268 UPDCLIENT.EXE-06442ED2.pf 10.01.2008 11:19 16.966 DFRGFAT.EXE-22605FE5.pf 10.01.2008 11:18 47.308 MMC.EXE-55643954.pf 10.01.2008 11:17 44.920 CIDAEMON.EXE-01BEEBF3.pf 10.01.2008 11:16 36.082 YAHOOM~1.EXE-32677915.pf 10.01.2008 11:15 45.072 AVNOTIFY.EXE-278D3CE0.pf 10.01.2008 11:14 16.260 MSFEEDSSYNC.EXE-05335A39.pf 10.01.2008 11:13 22.594 IPODSERVICE.EXE-07892C80.pf 10.01.2008 11:12 10.510 YMSGR_TRAY.EXE-10A46342.pf 10.01.2008 11:12 21.472 RTKBTMNT.EXE-1E51C1A6.pf 10.01.2008 11:12 8.576 UPDATE.EXE-16715754.pf 10.01.2008 11:12 15.254 PREUPD.EXE-0B43CCF7.pf 10.01.2008 11:11 32.602 IMAPI.EXE-201490BB.pf 10.01.2008 11:11 1.396 WMPNSCFG.EXE-012BA747.pf 10.01.2008 11:11 10.826 JUSCHED.EXE-36F8FA29.pf 10.01.2008 11:11 8.864 ACU.EXE-04CAA5E9.pf 10.01.2008 11:11 6.866 AVGNT.EXE-34DB0DF2.pf 10.01.2008 11:11 1.396 CTFMON.EXE-05E57A5E.pf 10.01.2008 11:11 7.908 MONITOR.EXE-0693E15D.pf 10.01.2008 11:11 15.386 PCMSERVICE.EXE-3A1E99E5.pf 10.01.2008 11:11 9.948 KEYHOOK.EXE-1DD8D702.pf 10.01.2008 11:11 13.970 IMJPMIG.EXE-32ABEE9A.pf 10.01.2008 11:11 6.326 TINTSETP.EXE-2DD83AEF.pf 10.01.2008 11:11 9.378 QTTASK.EXE-0C419446.pf 10.01.2008 11:11 7.322 IMSCINST.EXE-2B626103.pf 10.01.2008 11:11 14.036 RUNDLL32.EXE-558E155B.pf 10.01.2008 11:11 49.320 DUMPREP.EXE-0AF2BF67.pf 10.01.2008 11:11 11.672 WLTRAY.EXE-0D3A5A80.pf 10.01.2008 11:11 20.992 ALAUNCH.EXE-145B15F4.pf 10.01.2008 11:11 791.714 NTOSBOOT-B00DFAAD.pf 09.01.2008 23:26 57.516 AVSCAN.EXE-1702C14B.pf 09.01.2008 22:42 17.394 A~NSISU_.EXE-1988D34C.pf 09.01.2008 22:42 19.922 UNINSTALL.EXE-3B2EBB19.pf 09.01.2008 22:41 13.132 ASUNINST.EXE-091C770E.pf 09.01.2008 22:05 61.572 SETUP.EXE-2EDB0508.pf 09.01.2008 22:05 12.562 _START.EXE-22324975.pf 09.01.2008 22:05 65.988 CUREIT[2].EXE-33DF8D02.pf 09.01.2008 22:04 52.906 MSCONFIG.EXE-1EF1EA0F.pf 09.01.2008 21:59 59.228 HOSTSXPERT.EXE-0E04C647.pf 09.01.2008 21:58 21.800 EXPLORER.EXE-02121B1A.pf 09.01.2008 21:40 53.244 AVCENTER.EXE-12E38D18.pf 09.01.2008 21:38 30.946 UNINSTALL.EXE-2EB7F467.pf 09.01.2008 21:38 15.140 KAVUNINSTALL.EXE-144D8540.pf 09.01.2008 21:37 40.830 AU_.EXE-2D626C41.pf 09.01.2008 21:37 15.042 UNINST.EXE-248F3477.pf 09.01.2008 21:36 32.672 HIJACKTHIS.EXE-3643707F.pf 09.01.2008 21:19 18.918 HJTINSTALL.EXE-2752D0E9.pf 09.01.2008 21:19 26.402 MINIDM.EXE-18479159.pf 09.01.2008 20:47 19.906 XP-ANTISPY.EXE-109DEE81.pf 09.01.2008 20:46 20.900 XP-ANTISPY.EXE-052C2E43.pf 09.01.2008 20:41 59.446 ACRORD32INFO.EXE-129F15EB.pf 09.01.2008 20:39 20.510 XP-ANTISPY.EXE-2CFB1989.pf 09.01.2008 20:14 30.936 RUNDLL32.EXE-6E0E3853.pf 09.01.2008 20:14 19.686 KILLBOX.EXE-265DDD43.pf 09.01.2008 20:13 13.540 AT.EXE-02A43BFA.pf 09.01.2008 20:12 23.640 KILLBOX.EXE-37BA9918.pf 09.01.2008 20:08 32.738 IE7PROSETUP_2.0[1].EXE-2A4C7D11.pf 09.01.2008 19:30 9.202 YSHORTCUT.EXE-2C8E6A5E.pf 09.01.2008 19:30 13.928 UNIN_Y~1.EXE-06091033.pf 09.01.2008 19:30 13.102 REGSVR32.EXE-396DEA2C.pf 09.01.2008 19:29 13.736 UNYT.EXE-05BB84B9.pf 09.01.2008 19:29 100.730 MSIEXEC.EXE-330626DC.pf 09.01.2008 19:27 53.386 QUICKTIMEINSTALLER[1].EXE-357418C5.pf 09.01.2008 19:26 24.598 YUPDATER.EXE-25C6B312.pf 09.01.2008 19:26 18.492 FLASH_~1.EXE-39583951.pf 09.01.2008 19:26 30.972 FLASH_SETUP.EXE-1AEF679A.pf 09.01.2008 19:25 11.764 YMMAPI.EXE-0830935E.pf 09.01.2008 19:25 57.166 YCUST_~1.EXE-05896C53.pf 09.01.2008 19:25 53.196 YTB_INST.EXE-0662A951.pf 09.01.2008 19:25 14.028 REGEDIT.EXE-2AE3423E.pf 09.01.2008 19:25 54.228 GG.EXE-066D234B.pf 09.01.2008 19:24 20.746 GLJD8.TMP-05FCAE55.pf 09.01.2008 19:24 14.190 YMSGR_~1.EXE-24FF5B48.pf 09.01.2008 19:24 8.942 YSERVER.EXE-18B0C251.pf 09.01.2008 19:24 19.836 GG77[1].EXE-01BF14A5.pf 09.01.2008 19:24 32.466 GLBD6.TMP-062B7B1D.pf 09.01.2008 19:24 7.608 YMSGR8US.EXE-39C97035.pf 09.01.2008 19:23 7.676 MSGR8US.2007.11.30.01.EXE-031584AC.pf 09.01.2008 19:23 54.352 GLBC8.TMP-20AA17FC.pf 09.01.2008 19:23 17.018 MSGR8US[1].EXE-1653B7E7.pf 09.01.2008 19:23 13.176 YMDC.EXE-23055FC8.pf 09.01.2008 19:21 53.396 GLBB8.TMP-14C13A46.pf 09.01.2008 19:21 7.676 MSGR8US.2007.11.30.01.EXE-36AAFECE.pf 09.01.2008 19:21 13.176 YMDC.EXE-1A618B70.pf 09.01.2008 19:20 28.664 NETSH.EXE-23AED181.pf 09.01.2008 19:17 22.134 FSSM32.EXE-0C2ED3AB.pf 09.01.2008 19:17 10.156 FSGK32.EXE-0797CC46.pf 09.01.2008 19:13 62.642 ACRORD32.EXE-0408CA01.pf 09.01.2008 18:52 90.328 HELPSVC.EXE-1C192440.pf 09.01.2008 17:55 35.232 GOOGLEUPDATER.EXE-1DF2649A.pf 09.01.2008 17:45 18.106 ALG.EXE-275708CF.pf 09.01.2008 17:44 49.694 WGATRAY.EXE-350D4455.pf 09.01.2008 17:44 17.872 FXSSVC.EXE-140862E7.pf 09.01.2008 17:44 13.626 SNMP.EXE-0DE66EDD.pf 09.01.2008 17:44 11.534 VIEWPOINTSERVICE.EXE-22A7543E.pf 09.01.2008 17:44 43.688 SEARCHINDEXER.EXE-00DB35DB.pf 09.01.2008 17:44 19.120 CLIPINC-SERVER.EXE-1507F957.pf 09.01.2008 17:44 21.212 SVCHOST.EXE-2D5FBD18.pf 09.01.2008 00:32 22.798 SNDVOL32.EXE-0EC6FD20.pf ----- Windows -------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS 10.01.2008 13:22 2.003.484 WindowsUpdate.log 10.01.2008 11:12 1.409 QTFont.for 10.01.2008 11:12 54.156 QTFont.qfn 10.01.2008 11:10 159 wiadebug.log 10.01.2008 11:10 0 0.log 10.01.2008 11:09 2.048 bootstat.dat 09.01.2008 23:29 32.400 SchedLgU.Txt 09.01.2008 23:29 4.226 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt 09.01.2008 23:29 50 wiaservc.log 09.01.2008 19:15 45.801 setupapi.log 09.01.2008 18:37 550 win.ini 09.01.2008 11:26 684 ocmsn.log 09.01.2008 11:26 618 msgsocm.log 09.01.2008 11:26 4.718 tsoc.log 09.01.2008 11:26 2.512 ntdtcsetup.log 09.01.2008 11:26 4.149 comsetup.log 09.01.2008 11:26 12.219 KB941644.log 09.01.2008 11:26 1.965 iis6.log 09.01.2008 11:26 12.319 FaxSetup.log 09.01.2008 11:26 1.355 imsins.log 09.01.2008 11:26 5.832 ocgen.log 09.01.2008 11:26 1.355 imsins.BAK 09.01.2008 11:26 12.407 KB943485.log 09.01.2008 11:26 0 setuperr.log 09.01.2008 11:26 0 setupact.log 01.01.2008 14:18 3.744 ModemLog_Curitel Packet Service.txt ----- Tasks ---------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\tasks 10.01.2008 14:00 290 A9F26C189185E008.job 10.01.2008 11:14 434 User_Feed_Synchronization-{BD204C9C-FB66-4342-9356-4423746E33A7}.job 10.01.2008 11:09 6 SA.DAT ----- Wintemp -------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\temp 10.01.2008 12:42 255 WGAErrLog.txt 10.01.2008 11:11 409 WGANotify.settings 10.01.2008 11:10 16.384 Perflib_Perfdata_5b4.dat 10.01.2008 11:09 256 ZLT009c5.TMP 10.01.2008 11:09 256 ZLT00947.TMP 09.01.2008 17:44 16.384 Perflib_Perfdata_88c.dat 09.01.2008 17:43 256 ZLT05ad6.TMP 09.01.2008 17:43 256 ZLT068af.TMP 09.01.2008 11:14 16.384 Perflib_Perfdata_808.dat 09.01.2008 11:13 256 ZLT03e19.TMP 09.01.2008 11:13 256 ZLT06d6a.TMP 09.01.2008 01:04 0 etilqs_LJIaUObJzi9k3fx 09.01.2008 01:04 0 T30DebugLogFile.txt 08.01.2008 22:58 16.384 Perflib_Perfdata_e4.dat 08.01.2008 22:57 256 ZLT05124.TMP 08.01.2008 22:57 256 ZLT00af1.TMP 08.01.2008 21:47 152 dw.log 08.01.2008 21:47 2.545.410 C84365.tmp 08.01.2008 12:48 256 ZLT038db.TMP 08.01.2008 12:48 256 ZLT038de.TMP 08.01.2008 00:45 256 ZLT01001.TMP 08.01.2008 00:45 256 ZLT01004.TMP 07.01.2008 18:22 256 ZLT06ac4.TMP 07.01.2008 10:07 16.384 Perflib_Perfdata_8ec.dat 07.01.2008 10:05 256 ZLT06e87.TMP 07.01.2008 10:05 256 ZLT0535a.TMP 26 Datei(en) 2.631.986 Bytes 0 Verzeichnis(se), 1.119.174.656 Bytes frei ----- Temp ----------------------------- Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\DOKUME~1\NADINE~1\LOKALE~1\Temp 10.01.2008 14:50 135.101 filelist.txt 10.01.2008 11:16 189.118 jusched.log 09.01.2008 19:31 4.083 QTInstallCode.log 09.01.2008 19:30 3.416 qtplugin.log 09.01.2008 19:26 21.176 hsm2.bmp 09.01.2008 19:26 21.176 gardasil.bmp 09.01.2008 19:26 21.176 kleenex.bmp 09.01.2008 19:26 21.176 navy2.bmp 09.01.2008 19:26 21.176 airforce3.bmp 08.01.2008 23:03 186 dw.log 08.01.2008 22:51 16.384 ~DF24BA.tmp 08.01.2008 22:51 16.384 ~DF2D7F.tmp 08.01.2008 22:29 32.815 l_0f9d1db8f390bbaf2978f078586ba8e5.jpg 08.01.2008 20:02 624 java_install_reg.log 16.12.2007 00:37 900.432 MsgPlusUninstall.exe |
Hmm... da kann man nicht viel sehen. Befolge daher bitte noch folgende Anleitung: Über ein filelisting mit diesem script:Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. Was ist mit den Dateien? Findest du sie? Was sagt virustotal? lg myrtille |
Ok mach ich, die Dateien finde ich nicht. Kannst mir vielleicht noch sagen wie ich sie noch suchen kann? |
Hi, die Dateien sollten sich im Ordner C:\Windows\System32 befinden. Hast du alle Dateien sichtbar gemacht?Dateien sichtbar machen Ich würd dir mittlerweile raten eher den Rechner neuaufzusetzen. Eine Bereinigung ist sicher möglich, aber dauert evtl länger als das Neumachen. lg myrtille |
http://www.file-upload.net/download-603034/listing.txt.html |
Ich habs jetzt nochmal so gemacht aber ich finde die Dateien immer noch nicht. |
Ok, wie gesagt, du hast ordentlich was auf deinem Rechner... daher kann ich nicht garantieren, dass die Bereinigung auch was wird! dann versuchen wir mal folgendes: SDFix * Lade dir SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. 1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es. 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: Files to delete: 4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Datei. Poste die Logs der beiden Programme sowie ein neues HJT-Log lg myrtille |
SDFix hat bei mir nicht funktioniert, da konnte man nix mit "Y" tippen, das andere was man sonst noch tippen konnte hat bei mir auch nicht wirklich funktioniert. So die andern 2: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hmalctnu ******************* Script file located at: \??\C:\bnxkmtqg.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\tasks\A9F26C189185E008.job deleted successfully. File C:\WINDOWS\system32\mag_hool32.dll not found! Deletion of file C:\WINDOWS\system32\mag_hool32.dll failed! Could not process line: C:\WINDOWS\system32\mag_hool32.dll Status: 0xc0000034 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe not found! Deletion of file C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe failed! Could not process line: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch\BYTE LITE.exe deleted successfully. File C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus\AXISNEW.exe not found! Deletion of file C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus\AXISNEW.exe failed! Could not process line: C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus\AXISNEW.exe Status: 0xc0000034 File C:\WINDOWS\system32\mscheck.exe not found! Deletion of file C:\WINDOWS\system32\mscheck.exe failed! Could not process line: C:\WINDOWS\system32\mscheck.exe Status: 0xc0000034 File C:\WINDOWS\system32\rdirector.exe not found! Deletion of file C:\WINDOWS\system32\rdirector.exe failed! Could not process line: C:\WINDOWS\system32\rdirector.exe Status: 0xc0000034 File C:\Windows\system32\ssdprasa.dll not found! Deletion of file C:\Windows\system32\ssdprasa.dll failed! Could not process line: C:\Windows\system32\ssdprasa.dll Status: 0xc0000034 File C:\Windows\system32\e1.dll not found! Deletion of file C:\Windows\system32\e1.dll failed! Could not process line: C:\Windows\system32\e1.dll Status: 0xc0000034 File C:\Windows\system32\confbrw.dll not found! Deletion of file C:\Windows\system32\confbrw.dll failed! Could not process line: C:\Windows\system32\confbrw.dll Status: 0xc0000034 File C:\Windows\system32\brwstat.dll not found! Deletion of file C:\Windows\system32\brwstat.dll failed! Could not process line: C:\Windows\system32\brwstat.dll Status: 0xc0000034 File C:\WINDOWS\system32\svchosts.exe not found! Deletion of file C:\WINDOWS\system32\svchosts.exe failed! Could not process line: C:\WINDOWS\system32\svchosts.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. und: Logfile of HijackThis v1.99.1 Scan saved at 17:06:14, on 10.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Acer\eManager\anbmServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\cisvc.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Viewpoint\Common\ViewpointService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\keyhook.exe C:\Program Files\Arcade\PCMService.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Atheros\ACU.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\RtkBtMnt.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Creative\Shared Files\CamTray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\notepad.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA15670} - C:\WINDOWS\system32\mag_hool32.dll (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll (file missing) O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll (file missing) O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [ROAD ITCH AMOK PING] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch\BYTE LITE.exe O4 - HKLM\..\Run: [rdirector] C:\WINDOWS\system32\rdirector.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Picasa Media Detector] D:\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [mscheck] C:\WINDOWS\system32\mscheck.exe O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [Bore Load File Once] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKLM\..\RunServices: [p2p networking] p2pnetworking.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SIM] "C:\Programme\SIM\sim.exe" O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe" O4 - HKCU\..\Run: [book ante] C:\DOKUME~1\NADINE~1\ANWEND~1\ELSEPL~1\AXISNEW.exe O4 - Global Startup: QQ.lnk = C:\Programme\QQ\Africa2003\QQ.exe O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add to QQ Customized Panel - C:\Programme\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: Add to QQ Emoticons - C:\Programme\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send picture by MMS - C:\Programme\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: Send the Picture by QQ MMS - C:\Programme\Tencent\QQ\SendMMS.htm O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156796759875 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.gutchat.de/control/msnchat45.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll O20 - AppInit_DLLs: ssdprasa.dll e1.dll confbrw.dll brwstat.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000140 (file missing) O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
Was genau funktioniert bei SDFix nicht? Kannst du mir bitte bei den einzelnen Programmen sagen, ob dir die Ordner/Programme bekannt sind? Zitat:
C:\windows\system32\7932.bat und sie mit einem Rechtsklick aufzurufen. In dem erscheinenden Menü bitte "bearbeiten" auswählen und den Inhalt des sich öffnenden Fenster in [code]-tags hier posten. Lass bitte außerdem noch folgende Dateien bei virustotal überprüfen: Zitat:
Dann bitte noch den Inhalt (also die Namen der Dateien und Ordner) aus folgendem Ordner posten: Zitat:
Außerdem scheint sich seit über einem Jahr ein Programm auf deinem Rechner zu befinden, dass deine Passwörter ausliest und weitergibt. Ich kann nur noch mal wiederholen: Bei der Anzahl an offensichtlich nur halbbehobenen und schon lange vorhandenen Infektionen kann ich nur empfehlen, dass du deinen Rechner neuaufsetzt! neuaufsetzen lg myrtille |
SDFix also da kann man halt voll viele auswählen hab mal so alles irgendwie gemacht, aber bei manchen steht halt dran es irgendwie nicht geht mit einer Fehlermeldung. Thoosje Sidebar V2.3 Hyves Kwekker IMVU die 4 Programme sind mir bekannt. Der Rest nicht. Hier die Daten: @Echo off :S Del app.exe If Exist app.exe Goto S :T Del install.exe If Exist install.exe Goto T :D Del setup9x.exe If Exist setup9x.exe Goto D Del 7932.bat Den Rest mache ich jetzt. |
C:\Windows\?ymbols finde ich nicht mscoree.dll Ergebnis: 0/32 (0%) 17.dat Ergebnis: 9/31 (29.03%) 16.dat Ergebnis: 0/32 (0%) uiqzmticq.dll Ergebnis: 0/32 (0%) uiqzmtymsg.dll Ergebnis: 0/32 (0%) XpsSvcs.dll Ergebnis: 0/32 (0%) |
Zitat:
lg myrtille |
Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - suspicious Trojan/Worm eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - suspicious F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - VirTool:Win32/Obfuscator.C NOD32v2 - - - Norman - - W32/Suspicious_U.gen Panda - - Suspicious file Prevx1 - - - Sophos - - Mal/Packer Sunbelt - - VIPRE.Suspicious Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - Packed/Upack Webwasher-Gateway - - Win32.Malware.gen#Upack!94 (suspicious) weitere Informationen MD5: eef338f19d0b0230c7a2d4d26bc7c808 SHA1: 74ac80555e4746541684af68d93aaaf4e05a70aa SHA256: 1d56896df1b891195b96b5c6767a03f97ea5ade5cac8415ef7606b5cdd129d5e SHA512: 868e9871aad86d486d714b05b5cacf59ec59d468a4125cc0c90d8ba3df5e5bac 31777dc886e584df5ed234890c18e7f78aa864672e37f400426e91f9a3fe3be0 |
Na super, das ist ja herrlich uninformativ. :p Ich werd für das weitere Verfahren sicherlich länger brauchen... evtl ne Stunde vllt mehr... nur dass du Bescheid weißt. Ich setze die Antwort dann in ein neues Post, damit du siehst, dass ich geantwortet habe. :) lg myrtille |
Ok dankeschön schon mal für alles und die ganze Mühe bisher. Kannst auch gerne hier antworten, ich finde das dann schon. Kann aber sein das ich nachher nimmer wach bin, und da ich morgen arbeiten muss. Antworte ich dir warscheintlich erst morgen Abend wieder. |
Eine Sache brauch ich noch, das hatte ich ganz vergessen: -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) Thx :) lg myrtille |
Ich habe es ausgeführt aber ich finde das Log nicht oder habe ich was falsch gemacht? |
Das Log wird im selben ordner wie Silentrunners erstellt. Wenn du das Tool also aus einem Zip-ordner ausgeführt hast, konnte das Log nicht erstellt werden. Entpacke die Datei irgendwohin (wenn du das Tool behalten willst, zb unter C:\programme\silentrunners) und schau nach einem weiteren durchlauf dort nach dem log. lg myrtille |
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ "{320D180E-0640-1031-0320-060315050031}" = ""C:\Programme\Gemeinsame Dateien\{320D180E-0640-1031-0320-060315050031}\Update.exe" mc-110-12-0000140" [file not found] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS] "SIM" = ""C:\Programme\SIM\sim.exe"" [file not found] "PhonostarTimer" = "C:\Programme\phonostar\ps_timer.exe" ["phonostar"] "Creative WebCam Tray" = ""C:\Programme\Creative\Shared Files\CamTray.exe"" ["Creative Technology Ltd"] "book ante" = "C:\DOKUME~1\NADINE~1\ANWEND~1\ELSEPL~1\AXISNEW.exe" [file not found] "Aim6" = (empty string) [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."] "SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."] "SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS] "SiS Windows KeyHook" = "C:\WINDOWS\system32\keyhook.exe" ["Silicon Integrated Systems Corporation"] "ROAD ITCH AMOK PING" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch\BYTE LITE.exe" [file not found] "rdirector" = "C:\WINDOWS\system32\rdirector.exe" [file not found] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."] "Picasa Media Detector" = "D:\Picasa2\PicasaMediaDetector.exe" [file not found] "PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS] "PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS] "PCMService" = ""C:\Program Files\Arcade\PCMService.exe"" ["CyberLink Corp."] "MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data] "mscheck" = "C:\WINDOWS\system32\mscheck.exe" [file not found] "LaunchApp" = "Alaunch" ["Acer Inc."] "KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."] "IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS] "eRecoveryService" = "C:\Acer\Empowering Technology\eRecovery\Monitor.exe" ["acer Inc."] "Broadcom Wireless Manager UI" = "C:\WINDOWS\system32\WLTRAY" ["Broadcom Corporation"] "Bore Load File Once" = "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD\logo grid.exe" [file not found] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" [file not found] "ACU" = "C:\Programme\Atheros\ACU.exe -nogui" ["Atheros Communications, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4efb-9B51-7695ECA15670}\(Default) = "*i" (unwritable string) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\WINDOWS\system32\mag_hool32.dll" [file not found] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll" ["Google Inc."] {C1B4DEC2-2623-438e-9CA2-C9043AB28508}\(Default) = (no title provided) -> {HKLM...CLSID} = "Bar888" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll" [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1288.0816.dll" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a-squared Context Menu Shell Extension" -> {HKLM...CLSID} = "a-squared context menu" \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found] "{0563DB41-F538-4B37-A92D-4659049B7766}" = "WLMD Message Handler" -> {HKLM...CLSID} = "CLSID_WLMCMimeFilter" \InProcServer32\(Default) = "C:\Programme\Windows Live\Mail\mailcomm.dll" [MS] "{97090E2F-3062-4459-855B-014F0D3CDBB1}" = "Windows Search Deskbar" -> {HKLM...CLSID} = "Windows Search Deskbar" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\deskbar.dll" [MS] "{13E7F612-F261-4391-BEA2-39DF4F3FA311}" = "Windows Desktop Search" -> {HKLM...CLSID} = "Windows Desktop Search" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\msnlExt.dll" [MS] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."] "{00F33137-EE26-412F-8D71-F84E4C2C6625}" = (no title provided) -> {HKLM...CLSID} = "Windows Live Photo Gallery Import Autoplay Shim" \InProcServer32\(Default) = "C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll" [MS] "{00F346CB-35A4-465B-8B8F-65A29DBAB1F6}" = "Windows Live Photo Gallery Viewer Drop Target Shim" -> {HKLM...CLSID} = "Windows Live Photo Gallery Viewer Shim" \InProcServer32\(Default) = "C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll" [MS] "{00F3712A-CA79-45B4-9E4D-D7891E7F8B9D}" = "Windows Live Photo Gallery Editor Drop Target Shim" -> {HKLM...CLSID} = "Windows Live Photo Gallery Editor Shim" \InProcServer32\(Default) = "C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll" [MS] "{00F30F90-3E96-453B-AFCD-D71989ECC2C7}" = "Windows Live Photo Gallery Autoplay Drop Target Shim" -> {HKLM...CLSID} = "Windows Live Photo Gallery Viewer Autoplay Shim" \InProcServer32\(Default) = "C:\Programme\Windows Live\Photo Gallery\PhotoViewerShim.dll" [MS] "{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail" -> {HKLM...CLSID} = "Yahoo! Mail Shell Extension" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Common\YMMAPI.dll" ["Yahoo! Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ <<!>> "{56F9679E-7826-4C84-81F3-532071A8BCC5}" = (no title provided) -> {HKLM...CLSID} = "Windows Desktop Search Namespace Manager" \InProcServer32\(Default) = "C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = " ssdprasa.dll e1.dll confbrw.dll brwstat.dll" [file not found] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}" -> {HKLM...CLSID} = "Yahoo! Mail Shell Extension" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Common\YMMAPI.dll" ["Yahoo! Inc."] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" -> {HKLM...CLSID} = "a-squared context menu" \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"] ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}" -> {HKLM...CLSID} = "ZLAVShExt Class" \InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"] HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}" -> {HKLM...CLSID} = "a-squared context menu" \InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~1\A2CONT~1.DLL" [file not found] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoMSAppLogo5ChannelNotify" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoToolbarCustomize" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoBandCustomize" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\ "DisableRIED" = (REG_DWORD) dword:0x00000000 {Do not allow resetting Internet Explorer settings} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\ "NoJITSetup" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoUpdateCheck" = (REG_DWORD) dword:0x00000000 {unrecognized setting} "NoSplash" = (REG_DWORD) dword:0x00000000 {unrecognized setting} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Enabled Scheduled Tasks: ------------------------ "User_Feed_Synchronization-{BD204C9C-FB66-4342-9356-4423746E33A7}" -> launches: "C:\WINDOWS\system32\msfeedssync.exe sync" [MS] "Norton Security Scan" -> launches: "C:\Programme\Norton Security Scan\Nss.exe /scan-full /scheduled" ["Symantec Corporation"] "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{C1B4DEC2-2623-438E-9CA2-C9043AB28508}" = (no title provided) -> {HKLM...CLSID} = "Bar888" \InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\{320D1~1\Bar888.dll" [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."] Atheros-Konfigurationsdienst, ACS, "C:\WINDOWS\system32\acs.exe" [null data] Automatic LiveUpdate Scheduler, Automatic LiveUpdate Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"] Broadcom Wireless LAN Tray Service, wltrysvc, "C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe" [null data] ClipInc 002, ClipInc002, "D:\Tobit ClipInc\Server\ClipInc-Server.exe 002" [null data] ClipInc 003, ClipInc003, "D:\Tobit ClipInc\Server\ClipInc-Server.exe 003" [null data] Fax, Fax, "C:\WINDOWS\system32\fxssvc.exe" [MS] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."] Notebook Manager Service, anbmService, "C:\Acer\eManager\anbmServ.exe" ["OSA Technologies Inc."] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZONELABS\vsmon.exe -service" ["Zone Labs, LLC"] Viewpoint Manager Service, Viewpoint Manager Service, ""C:\Programme\Viewpoint\Common\ViewpointService.exe"" ["Viewpoint Corporation"] Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, "C:\Programme\Windows Media Player\WMPNetwk.exe" [MS] Windows-Suche, WSearch, "C:\WINDOWS\system32\SearchIndexer.exe /Embedding" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ LPR Port\Driver = "lprmon.dll" [MS] Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] ---------- (launch time: 2008-01-10 22:55:40) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 48 seconds, including 2 seconds for message boxes) |
Also, versuchen wir uns mal an einer Bereinigung... Nutze dieses Skript mit Avenger, wie unten bereits beschrieben: Zitat:
Zitat:
Bitte noch den Inhalt folgender Ordner angeben: C:\Programme\Reference Assemblies C:\Programme\infordigital C:\Programme\hhS Siegfried Hirsch Poste danach ein neues Hijackthislog und ein Log von eScan. lg myrtille |
C:\Programme\Reference Assemblies Da sind mehrere Ordner drin die man dann nach und nach öffnet kommt irgendwann mehrere Dinge wie System.Workflow usw. also sag mir nix C:\Programme\infordigital Der Ordner sagt mir doch was C:\Programme\hhS Siegfried Hirsch der Ordner sagt mir auch was |
Logfile of HijackThis v1.99.1 Scan saved at 08:49:16, on 11.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\acs.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\keyhook.exe C:\Program Files\Arcade\PCMService.exe C:\Programme\iTunes\iTunesHelper.exe C:\Acer\Empowering Technology\eRecovery\Monitor.exe C:\WINDOWS\system32\WLTRAY.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Atheros\ACU.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Creative\Shared Files\CamTray.exe C:\Acer\eManager\anbmServ.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\RtkBtMnt.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\WINDOWS\system32\cisvc.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe D:\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Viewpoint\Common\ViewpointService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\cidaemon.exe C:\DOKUME~1\NADINE~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Picasa Media Detector] D:\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe" O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [SIM] "C:\Programme\SIM\sim.exe" O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe" O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add to QQ Customized Panel - C:\Programme\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: Add to QQ Emoticons - C:\Programme\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send picture by MMS - C:\Programme\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: Send the Picture by QQ MMS - C:\Programme\Tencent\QQ\SendMMS.htm O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156796759875 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.info/objects/NpFv415.dll O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://www.gutchat.de/control/msnchat45.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Atheros-Konfigurationsdienst (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe |
Rest von Escan kommt heut abend. |
Hallo Dark-Silence ! Ganz unabhängig davon, ob Malware eine Rolle spielt, bei Firefox gibt Addons, die Werbefenster und Flash-Bilder sicher unterbinden. Der Werbeverhinderer heißt "Adblock plus" und benutzt eine aktuelle Liste von unerwünschter Werbung, die von einem "DrEvil" aktuell gehalten wird. Die Flash-Bilder weden vom Addon "Flashblock" unterdrückt. Die beiden Addons machen das Surfen schneller und angenehmer. Man kann sie für Firefox von der dortigen Homepage herunterladen. Die Downloads sind gratis. Gruß harlud |
@harlud Dankeschön für Info. |
http://www.file-upload.net/download-605619/MWAV.LOG.html |
Hi, bitte befolge die gesamte Anleitung und benutze die find.bat um das Log zu kürzen. So ist es viel zu lang. Poste bitte auch noch das Log von Avenger. lg myrtille |
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\uwvstggt ******************* Script file located at: \??\C:\ymwuatyx.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\Programme\Gemeinsame Dateien\{320D180E-0640-1031-0320-060315050031}\Update.exe" mc-110-12-0000140 for deletion Deletion of file C:\Programme\Gemeinsame Dateien\{320D180E-0640-1031-0320-060315050031}\Update.exe" mc-110-12-0000140 failed! Could not process line: C:\Programme\Gemeinsame Dateien\{320D180E-0640-1031-0320-060315050031}\Update.exe" mc-110-12-0000140 Status: 0xc0000033 File C:\WINDOWS\system32\Uninstall.ico not found! Deletion of file C:\WINDOWS\system32\Uninstall.ico failed! Could not process line: C:\WINDOWS\system32\Uninstall.ico Status: 0xc0000034 File C:\WINDOWS\system32\Help.ico not found! Deletion of file C:\WINDOWS\system32\Help.ico failed! Could not process line: C:\WINDOWS\system32\Help.ico Status: 0xc0000034 File C:\WINDOWS\system32\NULL not found! Deletion of file C:\WINDOWS\system32\NULL failed! Could not process line: C:\WINDOWS\system32\NULL Status: 0xc0000034 File C:\WINDOWS\system32\wnsapisv.exe not found! Deletion of file C:\WINDOWS\system32\wnsapisv.exe failed! Could not process line: C:\WINDOWS\system32\wnsapisv.exe Status: 0xc0000034 File C:\WINDOWS\system32\7932.bat not found! Deletion of file C:\WINDOWS\system32\7932.bat failed! Could not process line: C:\WINDOWS\system32\7932.bat Status: 0xc0000034 File C:\WINDOWS\system32\setup9x.exe not found! Deletion of file C:\WINDOWS\system32\setup9x.exe failed! Could not process line: C:\WINDOWS\system32\setup9x.exe Status: 0xc0000034 File C:\WINDOWS\system32\apps.exe not found! Deletion of file C:\WINDOWS\system32\apps.exe failed! Could not process line: C:\WINDOWS\system32\apps.exe Status: 0xc0000034 File C:\WINDOWS\system32\install.exe not found! Deletion of file C:\WINDOWS\system32\install.exe failed! Could not process line: C:\WINDOWS\system32\install.exe Status: 0xc0000034 File C:\WINDOWS\system32\17.dat not found! Deletion of file C:\WINDOWS\system32\17.dat failed! Could not process line: C:\WINDOWS\system32\17.dat Status: 0xc0000034 File C:\WINDOWS\system32\16.dat not found! Deletion of file C:\WINDOWS\system32\16.dat failed! Could not process line: C:\WINDOWS\system32\16.dat Status: 0xc0000034 File C:\WINDOWS\system32\uiqzmticq.dll not found! Deletion of file C:\WINDOWS\system32\uiqzmticq.dll failed! Could not process line: C:\WINDOWS\system32\uiqzmticq.dll Status: 0xc0000034 File C:\WINDOWS\system32\uiqzmtymsg.dll not found! Deletion of file C:\WINDOWS\system32\uiqzmtymsg.dll failed! Could not process line: C:\WINDOWS\system32\uiqzmtymsg.dll Status: 0xc0000034 File C:\WINDOWS\system32\XpsSvcs.dll not found! Deletion of file C:\WINDOWS\system32\XpsSvcs.dll failed! Could not process line: C:\WINDOWS\system32\XpsSvcs.dll Status: 0xc0000034 File C:\Programme\A.ico not found! Deletion of file C:\Programme\A.ico failed! Could not process line: C:\Programme\A.ico Status: 0xc0000034 File C:\Programme\B.ico not found! Deletion of file C:\Programme\B.ico failed! Could not process line: C:\Programme\B.ico Status: 0xc0000034 File C:\Programme\INSTALL.LOG not found! Deletion of file C:\Programme\INSTALL.LOG failed! Could not process line: C:\Programme\INSTALL.LOG Status: 0xc0000034 Folder C:\fsaua.data not found! Deletion of folder C:\fsaua.data failed! Could not process line: C:\fsaua.data Status: 0xc0000034 Folder C:\KEEN not found! Deletion of folder C:\KEEN failed! Could not process line: C:\KEEN Status: 0xc0000034 Could not open folder C:\Windows\?ymbols for deletion Deletion of folder C:\Windows\?ymbols failed! Could not process line: C:\Windows\?ymbols Status: 0xc0000033 Folder C:\Programme\YourSiteBar not found! Deletion of folder C:\Programme\YourSiteBar failed! Could not process line: C:\Programme\YourSiteBar Status: 0xc0000034 Folder C:\Programme\PantsOff not found! Deletion of folder C:\Programme\PantsOff failed! Could not process line: C:\Programme\PantsOff Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch not found! Deletion of folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch failed! Could not process line: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Long slow road itch Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD not found! Deletion of folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD failed! Could not process line: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIB MOVE BORE LOAD Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus not found! Deletion of folder C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus failed! Could not process line: C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\Else plus Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Was soll ich jetzt noch machen? |
Die letzten 2 Punkte der eScan anleitung abarbeiten: Zitat:
Avenger hat nichts gelöscht, das muss ich mir nochmal anschauen lg myrtille |
Kannst mir des bitte nochmal anderst erklären, ich blick da grad nicht so richtig durch. Soll ich des Escan nochmal laufen lassen oder nicht? Und wie dann genau weiter? |
Du hast in Punkt 2 die find.bat runtergeladen? Wenn nicht geh da nochmal hin und lade sie runter. Wenn du den Link anklickst, dann kann es sein, dass du nur text siehst... Dann einfach Rechtsklick auf die Seite machen und "Speichern unter" wählen. Als Namen "find.bat" und als "Dateityp" alle "Alle Dateien" anwählen. Wenn du die Datei runtergeladen hast, dann einfach mit einem Doppelkick ausführen und das neu erstellte Log hierrein stellen. Du musst also eScan nicht nochmal durchlaufen lassen. Es geht nur darum alle "normalen" Einträge zu entfernen, damit man das Log besser durchlesen kann. hier Kannst du ja mal schauen wie das dann ausschaut. :) lg ymrtille |
Hi, hab jetzt nen Windowsrechner gefunden und das Log selsbt erstellt: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: German Virus-Datenbank Datum: 12/27/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "surfaccuracy Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "yoursitebar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "clickspring Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen. System found infected with toolbar888 Browser Hijacker ({569304ba-83ed-4cff-ac26-be3e482f7208})! Action taken: Keine Aktion vorgenommen. System found infected with toolbar888 Browser Hijacker ({c6f2214e-0b54-45a9-b90d-7dd4ba45ed0b})! Action taken: Keine Aktion vorgenommen. System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows/ivs)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\taskkill.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\taskkill.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Nadine Herrmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WZUTUZJW\cureit[1].exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Nadine Herrmann\Incomplete\T-233472-El Temperamento - Marquess.mp3.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\SDFix\Norman_Malware_Cleaner.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\SDFix\sav32sfx.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\SDFix.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\taskkill.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei D:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen. File D:\VVSNInst.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol downloads\triton_suite_install_6.0.28.1\toolbar.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Programme\tencent Offending Folder found: C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\acccore\caches\bart\1024 Offending Folder found: C:\Dokumente und Einstellungen\Nadine Herrmann\Anwendungsdaten\icq6\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\sacc !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!! Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\yoursitebar !!! Offending Key found: HKLM\Software\clickspring !!! Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKLM\Software\tencent !!! Offending Key found: HKCU\Software\magnet !!! Offending Key found: HKCU\Software\tencent !!! Offending Key found: HKCU\Software\VB and VBA Program Settings\mc !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!! Offending Key found: HKCR\magnet !!! Offending Key found: HKCR\wusn.1 !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_46ff9674\engine\avewin32.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Nadine Herrmann\Eigene Dateien\7018_119.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Nadine Herrmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WZUTUZJW\xp-AntiSpy_deutsch3966[1].zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Nadine Herrmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AQ3T0WHN\HJTInstall[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Nadine Herrmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F1H9DJO8\KillBox[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Treiber\BroadCom WLAN\802bg nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 140161 Gefundene Viren: 30 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 241 Dauer des Scans bisher: 02:05:40 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 15:04:56.17 Batchende: 15:06:30.22 Das sieht eigentlich sauber aus... Allerdings beunruhigen mich die Dateien, die sich auf deinem Rechner befunden haben weiterhin und die Tatsache, dass selbst mächtige Programme die Dateien nicht finden können weiterhin. Am liebsten wäre es mir daher wirklich, wenn du deinen Rechner neuaufsetzen würdest und danach alle Passwörter ändern würdest. Die Anleitung befindet sich hier: klick Die Symptome sind mittlerweile wohl weg, allerdings kann ich dir beim besten Willen nicht sagen, was auf dem Rechner noch läuft. Du kannst zb mit folgendem Programm noch schauen, was sich von deinem Rechner auswählt: tcpview 1. Das Programm tcpview herunterladen und auf dem Desktop entpacken. 2. Im Ordner tcpview die Datei tcpview.exe starten. 3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern. 4. Den Inhalt der Logdatei posten. http://img.microsoft.com/germany/tec...es/TcpView.gif Allerdings lassen sich solche Programme natürlich auch umgehen. lg myrtille |
Hi, dankeschön, hatte leider keine Zeit deshalb schreib ich jetzt erst. AppleMobileDeviceService.exe:300 TCP acer-4529571627:27015 localhost:1057 ESTABLISHED ClipInc-Server.exe:1068 TCP acer-4529571627:1144 sc10.ams.llnw.net:http ESTABLISHED ClipInc-Server.exe:1068 UDP acer-4529571627:1029 *:* ClipInc-Server.exe:1204 TCP acer-4529571627:1082 213.254.239.51:http ESTABLISHED IEXPLORE.EXE:3600 UDP acer-4529571627:1445 *:* iTunesHelper.exe:3044 TCP acer-4529571627:1057 localhost:27015 ESTABLISHED LSASS.EXE:724 UDP acer-4529571627:isakmp *:* LSASS.EXE:724 UDP acer-4529571627:4500 *:* SNMP.EXE:1492 UDP acer-4529571627:snmp *:* SVCHOST.EXE:1016 UDP acer-4529571627:ntp *:* SVCHOST.EXE:1016 UDP acer-4529571627:ntp *:* SVCHOST.EXE:1016 UDP acer-4529571627:ntp *:* SVCHOST.EXE:1100 UDP acer-4529571627:1128 *:* SVCHOST.EXE:1100 UDP acer-4529571627:1105 *:* SVCHOST.EXE:1100 UDP acer-4529571627:1036 *:* SVCHOST.EXE:1100 UDP acer-4529571627:1129 *:* SVCHOST.EXE:1100 UDP acer-4529571627:1037 *:* SVCHOST.EXE:1248 UDP acer-4529571627:1900 *:* SVCHOST.EXE:1248 UDP acer-4529571627:1900 *:* SVCHOST.EXE:1248 UDP acer-4529571627:1900 *:* System:4 TCP acer-4529571627:microsoft-ds acer-4529571627:0 LISTENING System:4 TCP acer-4529571627:netbios-ssn acer-4529571627:0 LISTENING System:4 TCP acer-4529571627:netbios-ssn acer-4529571627:0 LISTENING System:4 UDP acer-4529571627:netbios-ns *:* System:4 UDP acer-4529571627:netbios-dgm *:* System:4 UDP acer-4529571627:netbios-ns *:* System:4 UDP acer-4529571627:netbios-dgm *:* System:4 UDP acer-4529571627:microsoft-ds *:* |
Wie gesagt, auf der Oberfläche sah dein Rechner sauber aus, allerdings stehen folgende Einträge: Zitat:
Der Trojaner liest deine Tastatureneingaben und damit deine Passwörter aus und verschickt sie und erlaubt anderen Zugang zu deinem Rechner. Also hier nochmal die Empfehlung, deinen Rechner neuaufzusetzen und danach deine Passwörter zu ändern. Weitere Hinweise auf den Befall könnte man wahrscheinlich wie folgt finden: Da das Ding schon was älter ist, kann ich nicht sagen, obs jetzt via TCP arbeitet. Lass mal den ADS Spy im HJT laufen, vlt. findet der noch was nettes, oder ModGreper * Lade Modgreper von hier. * Entpacke es nach c:\ * Lade die mg.bat von hier . * Speicher diese auf dem Desktop * Klicke die mg.bat an, ein schwarzes Fenster erscheint * nachdem dieses verschwunden ist Öffne mit dem Explorer oder über den Arbeitsplatz * dort liegt nun die Datei c:\modgreper.txt, diese mit einem Doppelklick öffnen * poste den Inhalt der modgreper.txt im Forum Wie ist deine Platte formatiert? Ntfs oder fat32? (je nachdem könnte man auch noch nach was anderem schauen) lg myrtille |
? f7263000 - f7277000 : srescan.sys ? b6ece000 - b6f2d000 : \SystemRoot\System32\vsdatant.sys ? b6d28000 - b6d40000 : \SystemRoot\System32\Drivers\dump_atapi.sys ? f79bc000 - f79be000 : \SystemRoot\System32\Drivers\dump_WMILIB.SYS ? f78ae000 - f78b3000 : \??\C:\modgreper.sys Ich weiss nicht genau wie die Formatiert ist, wie sehe ich das den? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board