|
Desktop ist html-file Hallo, ..und ins Internet konnte man auch nicht mehr.. ich hab dann AdAware, Spy S&D, CWShredder, und nen logfile von HiJack This gemacht. --> Internet geht nun wieder.. aber der Desktop stimmt nicht so, ist sone Art html File welches unter file://C:\WINDOWS\Web\desktop.html gespeichert ist. Kann ich das Teil einfach köschen oder wie stell ich das wieder in den normal-zustand? Hier das Log von HiJack This: Logfile of HijackThis v1.98.0 Scan saved at 18:01:02, on 26.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Photodex\ProShowGold\ScsiAccess.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\WINDOWS\System32\PROMon.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\hphmon04.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\uncz.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uube.exe C:\WINDOWS\System32\rjg.exe C:\WINDOWS\DvzCommon\DvzMsgr.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\System32\HPHipm11.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 32.dll O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [uncz] C:\WINDOWS\uncz.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Saoe] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uube.exe O4 - HKCU\..\Run: [Ixwoyv] C:\WINDOWS\System32\rjg.exe O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab Danke und Gruss Röbe |
Hallo Röbe und Willkommen im Board, führe bitte zuerst einmal eScan (siehe Signatur) aus und poste, was an Malware gefunden wurde. |
ok hab das proggi letze nacht mal gestartet.. kollege hat dann am nächsten morgen den pc ausgeschaltet ohne nen log-file zu machen. habs heute nochma gestartet und ja.. das logfile ist nun von beiden tagen :) Aber das Teil is ja saulange. Ich post jetz mal einfach den Schluss vom ersten log. Hoffe das hilft was: Mon Jul 26 21:52:14 2004 => ***** Checking for specific ITW Viruses ***** Mon Jul 26 21:52:15 2004 => Checking for Welchia Virus... Mon Jul 26 21:52:15 2004 => Checking for LovGate Virus... Mon Jul 26 21:52:15 2004 => Checking for CodeRed Virus... Mon Jul 26 21:52:15 2004 => Traces of "CodeRed" found and cleaned !!! Mon Jul 26 21:52:15 2004 => Checking for OpaServ Virus... Mon Jul 26 21:52:15 2004 => Checking for Sobig.e Virus... Mon Jul 26 21:52:15 2004 => Checking for Winupie Virus... Mon Jul 26 21:52:15 2004 => Checking for Swen Virus... Mon Jul 26 21:52:15 2004 => Checking for JS.Fortnight Virus... Mon Jul 26 21:52:15 2004 => Checking for Novarg Virus... Mon Jul 26 21:52:15 2004 => Checking for Pagabot Virus... Mon Jul 26 21:52:15 2004 => ***** Scanning complete. ***** Mon Jul 26 21:52:15 2004 => Total Number of Files Scanned: 58351 Mon Jul 26 21:52:15 2004 => Total Number of Virus(es) Found: 49 Mon Jul 26 21:52:15 2004 => Total Number of Disinfected Files: 0 Mon Jul 26 21:52:15 2004 => Total Number of Files Renamed: 4 Mon Jul 26 21:52:15 2004 => Total Number of Deleted Files: 36 Mon Jul 26 21:52:15 2004 => Total Number of Errors: 0 Mon Jul 26 21:52:15 2004 => Time Elapsed: 00:59:11 Mon Jul 26 21:52:15 2004 => Virus Database Date: 2004/07/19 Mon Jul 26 21:52:15 2004 => Virus Database Count: 97349 Mon Jul 26 21:52:15 2004 => Scan Completed. eigentlich müsste man ja wohl wissen welche Dateien mit nem Virus befallen waren ne? Aber das log is bissel zu gross :D |
Zitat:
Fixe mit HijackThis folgendes: Zitat:
Zitat:
Anschließend boote den Rechner neu und erstelle ein neues Log mit HijackThis. |
Logfile of HijackThis v1.98.0 Scan saved at 16:53:35, on 31.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe C:\WINDOWS\System32\PROMon.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\hphmon04.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\DvzCommon\DvzMsgr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE C:\Programme\Photodex\ProShowGold\ScsiAccess.exe C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\WINDOWS\System32\HPHipm11.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE die Files wurden bereits gelöscht.. Aber den html-Desktop hab ich immer noch :) rechtklick -eigenschaften --> Pfad: file://C:\WINDOWS\Web\desktop.html kann ich das Teil einfach löschen und dann is der Desktop wieder okey? Thx und Gruss Röbe |
Also das Log schaut jetzt zumindest sauber aus ... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board