|
Spysheriff Hi, :dummguck: Hab folgendes problem. Ich war mal wieder im internet unterwegs und hab mir durch nen dummen popup glaube was eingefangen. Denn dann kam ein fenster mit pornografischen bildern hervor das sich nicht schliessen lässt. Da eh nix mehr ging hab ich den PC neugestartet. Nun hab ich mit Antivirenkit2005 mein pc durchsucht und der hat 24 viren gefunden. Aber mein destop hintergrund ist komplett blau und in der mitte steht : SYSTEM STOPPED und noch was auf englisch darunter. Der hintergrund lässt sich auch nicht ändern und in den taskmanager kann ich auch nicht rein. Da steht der administrator hätte ihn deaktiviert... Und bei jedem windows start öffnet sich spysheriff. ich weis auch net voher das kommt, ich kenn es zumindest nicht. Hab noch nie vorher installiert.. Es sucht immer was und will das ich es aktiviere. Wie bekomm ich das weg und wie kann ich mein desktop ändern und den taskmanager öffnen?? PLZ HELP! Danke im vorraus :dummguck: |
Poste zunächst einen Log mittels Hijackthis . |
Logfile of HijackThis v1.99.1 Scan saved at 20:04:41, on 16.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\Explorer.exe E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe E:\Programme\AntiVirenKit 2005 trial\AVKService.exe E:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe E:\WINDOWS\System32\nvsvc32.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\kernels32.exe E:\Programme\Internet Explorer\iexplore.exe E:\WINDOWS\System32\wuauclt.exe C:\Program Files\SpySheriff\SpySheriff.exe E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\System32\kernels32.exe O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [System] E:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [AVKBar] "E:\Programme\AntiVirenKit 2005 trial\AVKBar.exe" O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - E:\WINDOWS\System32\Shdocvw.dll O21 - SSODL: System - {7BD4A02C-09D4-40EE-B9F8-689E86BF5315} - vr_sys.dll (file missing) O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - E:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Programme\AntiVirenKit 2005 trial\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - E:\Programme\AntiVirenKit 2005 trial\AVKWCtl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe |
Das sieht nicht gut aus. Lass mal diese Datei : C:\winstall.exe zur Sicherheit hier prüfen: http://virusscan.jotti.org/de/ Beende den laufenden Prozess vorher im Takmanager. |
Datei: winstall.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: Bitte warten... AntiVir PMS/Renos.A possible malicious software gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2912 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Misc/Renos.A gefunden Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Darüber war noch ne datei die mir verdächtig vorkam und hab sie auch prüfen lassen... Datei: lo988804254.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: FSG AntiVir TR/Dldr.Small.agq.1 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Downloader.Small-566 gefunden Dr.Web Trojan.DownLoader.2911 gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Misc/Generic.6C96 gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.axu gefunden mks_vir Win32 gefunden (mögliche Variante) NOD32 probably a variant of Win32/TrojanDownloader.Small.APD gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden VBA32 TR.Dldr.Small.agq.1 gefunden |
Hallo, lad dir mal a2 runter und lass es über dein System laufen, aber mit dem neuesten update. http://www.emsisoft.de/de/software/download/ Dann geb mal Spysheriff bei Google ein. Da findst du nur vier Einträge welche allerdings in französich verfasst sind. Die Seite läßt du dir von Google übersetzen. Da hat einer das gleiche Problem wie du. Viel Erfolg :daumenhoc |
Dann überprüfe dein System zunächst mit Escan . Teile uns die Ergebnisse mit. |
a2 musste ich nen account erstellen. hab meinen namen und email adresse angegeben. da stand dann ich würde ne mail bekommen. Es kahm aber bis jetzt keine... habe die mail-adresse 3 mal überprüft und habe sie auch richtig geschrieben. das andere tool hat beim ersten scan 8 und beim zweiten 12 viruse gefunden. Beim 2ten scan hab ich aber diesmal nicht auf ok geklickt. kann ja sein dass ich was anderes machen muss und deswegen n paar viren geblieben sind. kernel32.exe ist noch vom ersten scan geblieben. da hat das programm nicht gelöscht. die anderen hab ich mir net gemerkt.. Und wenn ich bei google spysheriff eingebe kommen 10 seiten.. |
@ FIREWALLED! Die Virus Log Information wäre uns lieber gewesen als die reine Aufzählung. eScan löscht auch leider keine Malware mehr, da mußt du schon selbst Hand anlegen. btw: Die Mehrzahl von Virus heißt Viren. ;) |
Ach so :D sorry. Die viren hat er gefunden: File E:\WINDOWS\vr_sys.dll infected by "Trojan-PSW.Win32.LdPinch.os" Virus! Action Taken: No Action Taken. File E:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.axu" Virus! Action Taken: No Action Taken. Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "CWS.therealsearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "F:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken. Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. File E:\WINDOWS\System32\abc.exe infected by "Trojan-PSW.Win32.LdPinch.os" Virus! Action Taken: No Action Taken. File E:\WINDOWS\System32\latest.exe infected by "Trojan.Win32.Crypt.c" Virus! Action Taken: No Action Taken. File E:\WINDOWS\System32\vxh8jkdq2.exe infected by "not-virus:Hoax.Win32.Renos.a" Virus! Action Taken: No Action Taken. File E:\WINDOWS\System32\~update.exe infected by "Trojan.Win32.Crypt.c" Virus! Action Taken: No Action Taken. File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\2.qtdfmp infected by "not-virus:Hoax.Win32.Renos.a" Virus! Action Taken: No Action Taken. File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\6.qtdfmp infected by "Trojan-Downloader.Win32.Small.aux" Virus! Action Taken: No Action Taken. File E:\DOKUME~1\F!ReFoX\LOKALE~1\Temp\7.qtdfmp infected by "Trojan-Downloader.Win32.Small.atl" Virus! Action Taken: No Action Taken. |
Teile uns die Ergebnisse wie folgt mit: Zitat:
|
Da im fenster steht folgendes: E:\>if not eXist c:\bases\mwav.log goto 1 E:\>if not eXist c:\bases_X\mwav.log goto 2 eine eScan_neu.txt hat er nicht erstellt. |
Die Pfade stimmen nicht mit den Abfragen überein, daher die Fehlermeldung. Meiner Meinung nach, solltest du dein System neu aufsetzen, siehe meine Signatur. |
OK. hab mein Windows neu insalliert. Viren und spysheriff sind weg! Werde nieeeee wieder auf irgendeinen pop-up mit werbung klicken!! :snyper: Nochmals Danke für die Hilfe :party: |
Hallo zusammen, ich habe genau das gleiche Problem auf meinen PC und habe auch mehr als 20 Trojaner auf dem Rechner gefunden. Aber genau wie erwähnt lädt sich auch bei mir immer dieses SpySheriff auf dem Desktop und blockiert mir den Task Manager und die Systemsteuerung. Werd mein System wohl auch neu formatieren dürfen. :headbang: |
Hi! Habe auch diesen Spysheriff drauf. Wollte eigentlich die Festplatte formatieren, ging aber nicht. Weder über den Explore kann ich einige Dateien von spysheriff löschen, noch über MS-Dos. Beim formatierungsbefehl "format C" verlangt er nach der Bestätigung, die ich auch bejahe. Dann kommt die mMeldung, dass die Formatierung abgebrochen wird, da auf C ein Progamm arbeitet.. Mehrmals versucht, unteranderem nach Löschung so viel spysheriff dateien wie möglich. Ohne Erfolg. Hat jemand eine Idee wir ich meine Festplatte formatieren kann? Starten über Boot CD auch schon vergeblich versucht. chubbide |
Hallo chubbide, lese die Neuaufsetzen Anleitung in meiner Signatur aufmerksam durch und handle danach. Das klappt's auch mit dem Formatieren. ;) btw: Du kannst nicht aus dem laufenden Betrieb die Systempartition formatieren. |
Hallo habe auch diesen ekligen spysheriff habe herausgefunden wie man den blauen Hintergrund wegkriegt gehe so vor: Start, Ausführen, "regedit" eingeben, dann HKEY_CURENT_USER, Software, Microsoft, Windows, CurrentVersion, Policies nun sollte es hier einen Ordner haben der ActiveDesktop heisst den musst du löschen (keine Angst er kommt wieder und das Bild ist weg mit der Meldung) falls der nicht da ist musst du suchen!!! viel Glück :daumenhoc |
Servus hm ich scheine mittels löschen den spysheriff runterbekommen zu haben habe pc komplett zugemacht und alles gelöscht was nicht koscher war gut der kommt nach dem start nu nich mehr nur das mit dem destop bleibt habe ansonsten alle rechte nur nicht die ein neues hintergrundbild zu machen gibt es noch ne andere möglichkeit das wieder wegzubekommen wie die die hier beschrieben wurde |
Ich probier das auch mal aus. |
So, ich hoffe, ihr könnt mir weiterhelfen. Logfile of HijackThis v1.99.1 Scan saved at 11:39:15, on 25.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe C:\WINDOWS\System32\kernels32.exe D:\Programme\PestPatrol\PestPatrol\PPControl.exe C:\Programme\Softwin\BitDefender8\bdoesrv.exe C:\progra~1\softwin\bitdef~1\bdnagent.exe D:\Programme\PestPatrol\PestPatrol\PPMemCheck.exe D:\Programme\PestPatrol\PestPatrol\CookiePatrol.exe C:\WINDOWS\System\svchost.exe C:\Programme\BullsEye Network\bin\bargains.exe C:\WINDOWS\System32\msxct.exe C:\windows\system32\gcbkla.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\accwiz.exe C:\Programme\rsss\estr.exe C:\WINDOWS\System32\r?ndll.exe C:\Program Files\SpySheriff\SpySheriff.exe C:\WINDOWS\System32\vxh8jkdq7.exe C:\WINDOWS\System32\vxh8jkdq7.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\WINDOWS\System32\vxgamet2.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\x\LOKALE~1\Temp\Rar$EX01.516\HijackThis.exe R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - _{E4733A1C-21AE-6C65-2D70-168C0FB399DF} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\ceres.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {74B222AC-E86B-E1B1-3DFF-C42E447C9AC8} - C:\WINDOWS\System32\qgobn.dll O2 - BHO: (no name) - {74B222AD-E86B-E1B1-3DF5-C32E327A9ACD} - C:\WINDOWS\System32\qgobn.dll O2 - BHO: (no name) - {7FB222A2-E86B-94B5-3DFE-C22E34799ABE} - C:\WINDOWS\System32\qgobn.dll O2 - BHO: (no name) - {8C11C20F-29CB-B6A8-CB00-5609D8B1F596} - C:\WINDOWS\System32\drvi\vstqbiswqf.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" <--kommt immer wieder O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [msxct] msxct.exe O4 - HKLM\..\Run: [gcbkla] c:\windows\system32\gcbkla.exe O4 - HKLM\..\Run: [ActionScr] sysconf16.exe O4 - HKLM\..\Run: [10010] CToolBar.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BPMInit] BpmInit.exe D:\PROGRA~1\ALCATech\BPM-ST~1 O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [Rlos] C:\Programme\rsss\estr.exe O4 - HKCU\..\Run: [Brng] C:\WINDOWS\System32\r?ndll.exe O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe" <--hatte ich vorher nicht drauf O4 - HKCU\..\Run: [WTFCTF] qwe.exe O4 - HKCU\..\Run: [backd] DTOURS.exe O4 - HKCU\..\Run: [TemplateDongle] iesetupdll.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O4 - Global Startup: BTTray.lnk = ? O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://h**p:\\vxiframe.biz//adverts/...hm::/win32.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://h**p:\\software-dl.real.com/2...dxIE601_de.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://h**p:\\www.mt-download.com/Me...cab?refid=4600 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender8\vsserv.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe |
Hallo, hatte den Spysheriff auch drauf und ihn, so hoffe ich, wegbekommen. 1. Internetverbindungskabel bzw. WLAN-Stick entfernt 2. PC im abgesicherten Modus gestartet. 3. Virenscanner aktiviert --> 13 Trojaner gefunden und gelöscht. 4. Ad-Aware gestartet und die gefundenen Einträge gelöscht. 4a. Die beiden Registry-Einträge mit dem deaktivierten Taskmanager und dem unveränderbaren Hintergrundbild mit Hilfe von regedit.exe gelöscht. 5. Offline alle Cookies und Offlineinhalte gelöscht. 6. Spysheriff deinstalliert 7. Die Sicherheitseinstellungen bei den Internetoptionen wieder richtig gestellt (Diese wurden durch einen der Trojaner verändert!!!) 8. Unter msconfig.exe alle Programme, die mir suspekt waren, deaktiviert. (siehe Screen) 9. Zur Sicherheit den Virenscanner nochmal drüber laufen lassen. (Keine Funde) 10. Windows neu gestartet und alles sauber(???) :confused: Meine Fragen: 1. Wie bekommt man in der msconfig.exe die Einträge weg, die man garantiert nicht mehr haben möchte (ROT)?? Und woher weiß ich, was die mir Unbekannten für Anwendungen sind (BLAU)?? http://mitglied.lycos.de/interloper81/Msconfig.JPG 2. Auch kann ich seit dem Spysheriff meine Internetverbindungsfirewall nicht mehr aktivieren, da in den Diensten scheinbar was verändert wurde :mad: Was kann ich da tun?? http://mitglied.lycos.de/interloper8...gsfirewall.JPG Zum Schluss noch mein HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 13:21:17, on 09.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\vsnpstd.exe C:\Programme\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\POP-UP~1\PSFree.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\GemeinsameDateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [ZDConfig] "C:\Programme\ZyDAS Technology Corporation\ZyDAS Wireless LAN\ZDConfig.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Windows NT\Yahoo!\Messenger\Messenger\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Windows NT\Yahoo!\Messenger\Messenger\yhexbmesde.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 67.19.178.84 O15 - Trusted IP range: 67.19.178.84 (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1145d463...dxIE601_de.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F5BAB8F9-CAC1-41F6-8632-CE4F7A8FAE43}: NameServer = 192.168.2.1 O21 - SSODL: Adobe Photoshop 7.0 - {8EC7647D-FC96-33AC-516C-E909308452FB} - c:\programme\adobe\photoshop 7.0\winwfwgn32.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe Wäre euch für jeden Hinweis dankbar!! :daumenhoc System neu aufsetzen trau ich mir bei den Datenmengen, die ich habe nicht zu :o |
also ich war auf einer lanparty so hatte aber internet (Drahtlos) ich spielte gerade css als die internetverbindung gekappt wurde ich sah auf meinem desktop " CRITICAL WARNING! " ich scannte meinen pc mit ewido und noch einem programm drei mal insgesamt durch so habe auch 66 viren,trojaner,spyware... gefunden so und naja das selbe wie zuvor der task manager is wech und der desktop lässt sich nich ändern hab mir dieses hijack dings runtergeladen und das hat der mir dann gesagt Logfile of HijackThis v1.99.1 Scan saved at 10:00:56, on 10.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Program Files\SpySheriff\SpySheriff.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\WINDOWS\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.worldsex2000.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINDOWS\blank.mht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINDOWS\System32\ztoolb003.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file) O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O4 - HKLM\..\RunOnce: [AVP] C:\WINDOWS\System32\107434.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "c:\dokumente und einstellungen\daniel\desktop\steam scheisse\steam.exe" -silent O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\win32.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Steam.lnk = C:\Dokumente und Einstellungen\Daniel\Desktop\steam scheisse\steam.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: BINGOOO - {25EEC8E3-319A-48C3-B538-E5812C1B570E} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: Dice Derby by pogo - http://game4.pogo.com/applet-5.9.2.3...-ob-assets.cab O16 - DPF: Fortune Bingo by pogo - http://game4.pogo.com/applet-5.9.2.3...-ob-assets.cab O16 - DPF: Pop Fu by pogo - http://game4.pogo.com/applet-5.9.2.3...-ob-assets.cab O16 - DPF: Squelchies by pogo - http://game4.pogo.com/applet-5.9.2.3...-ob-assets.cab O16 - DPF: Texas Hold'em Poker by pogo - http://game4.pogo.com/applet-5.9.2.3...-ob-assets.cab O16 - DPF: World Class Solitaire by pogo - http://h**p://game4.pogo.com/applet-...-ob-assets.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - h**p://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://h**p://tools.ebayimg.com/eps/...l_v1-0-3-0.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://h**p://us.dl1.yimg.com/downlo...io5_3_18_0.cab O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board