|
TR/Dldr.FakeAV.A6 & TR/Dldr.Zlob.QZ2 befallen meinen PC !HILFE! Ich hab gleich 2 von diesen Plagen auf meinem Pc und hab keine Ahnung wie ich die wieder los werde....:heulen: Kann mir bitte jemand helfen und mir Anweisungen geben wie ich am besten dagegen vorgehe? BITTE LG Angie |
Hallo angie, lies dir mal ein den LInk in meiner Signatur durch - "Anleitung HijackThis", poste anschliessend dieses in deinen Beitrag. Danach sehen wir weiter :daumenhoc Gruß Sunny |
Logfile of HijackThis v1.99.1 Scan saved at 18:24:19, on 01.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\explorer.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\SpyBro\SpyBro.exe C:\Programme\kauav\clamcomserver.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yooliety.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE danke schon mal für deine hilfe....;) |
ja und nun???? :confused: |
Mahlzeit, bin zwar net [Gc]Sunny aber hoffe, das stört net! ;) Lade Dir SmitfraudFix und gehe wie unter Reinigung beschrieben vor! Lade Dir CCleaner und Reinige Dein System. Kennst du das? O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart Finde unterscheidliche Aussagen dazu. Mal bitte,, wenn Dir nicht bekannt, bei Jotti und Virustotal ausweten lassen und das Ergebnis Posten! ( siehe SIG ) Poste ein neues Hijacktis Log und berichte, ob noch Problem vorhanden sind! Gruß Mellosun |
irgendwie funzt das erste programm, dass du mir empfohlen hast nicht.... es öffnet sich nur nen rotes fenster anstatt, wie unten angegeben, das blaue! was soll ich nun machen? |
@ angie auch mal wieder da? ;) Du weißt doch, dass du genau Beschreiben sollst. Nach Doppelklick auf die smitfraudfix.cmd öffnet sich ein rotes Fenster? Steht da was drin? |
aaaaahhhhhh :aplaus: mein retter vom letzten virenangriff ;) ja sorry.....ich hab vergas, also..... da steht drin: fichier restart.exe absent! restart.exe file missing! kannst du mir weiterhelfen??? :( |
ahhhhh es geht doch... habs noch mal runtergeladen! ich geh jetzt erstmal so vor wie es da steht! |
nun hab ich die ersten beiden programme ausgeführt, das andere hab ich nicht verstanden....:dummguck: Logfile of HijackThis v1.99.1 Scan saved at 12:35:54, on 04.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE was nun? |
hallo???? einer da? CRONOS? |
wird mir jetzt gar ned mehr geholfen???? :confused: |
mOIn angie85, poste doch mal den rapport.txt von Smidfraud fix. Zitat:
Du must dich einwenig klarer ausdrücken, sonst kann dir niemand helfen. Auch solltest du etwas genauer beschreiben was für Aktionen du durch geführt hast. MFG |
SmitFraudFix v2.79 Scan done at 22:18:46,32, 10.08.2006 Run from C:\Dokumente und Einstellungen\Angie\Desktop\smitfraudfix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ich krieg andauernd englische warnungen die mir sagen, dass ich einen virus hab und dass ich irgendwelche programme runterladen soll.... lasse gerade ein programm namens stinger laufen, dass ich von einem bekannten hab. dieses auswerten lassen hab ich nicht verstanden. sorry, aber ich bin total verzweifelt. |
klar du bist ja auch verseucht. wen du was versuchen willst folge erstmal dem : http://virus-protect.org/artikel/spy...o_%202006.html ansonsten installiere neu. deine freie Entscheidung |
da versteh ich kein wort....da ist soviel aufgelistet. kann mir nicht hier jemand schritt für schritt helfen? :( |
Zitat:
Abgesehen von WinAntivirus06 und Spybrowser kann ich keinerlei "Verseuchungen" entnehmen die es Notwendig machen gleich das ganze System neu zu installieren! :teufel2: Wenn es dir zu viel ist dem Thread Opener eine Bereinigung zu beschreiben, lass es einfach ganz! Denn so ist ihm damit auch nicht geholfen... |
Zitat:
und den anderen Rest kommentier ich jetzt nicht. |
war der eintrag an mich gerichtet oder an iso9001??? vielleicht ist das jetzt ne doofe frage, aber ich blick gar ned mehr durch:dummguck: |
Zitat:
Dann stell es unter Beweis das das System Hoffnungslos kompromittiert ist, dann nehme ich alles zurück ;) @angie85, sorry für diese Diskussion, aber der Ratschlag von ISO9001 ist mir ein wenig unklar, es würde bedeuten das du dein ganzes System (eventuell!) löschen musst. |
Damit hier mal langsam Ende ist: Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es. @Sunny Haben wir einen neuen Alleswisser und Möchtegern-Virenguru:confused: Hatte eigentlich nur TO PiPi mitbekommen;) |
08/11/06 20:03:43 [Info]: BlackLight Engine 1.0.42 initialized 08/11/06 20:03:43 [Info]: OS: 5.1 build 2600 (Service Pack 2) 08/11/06 20:03:43 [Note]: 7019 4 08/11/06 20:03:43 [Note]: 7005 0 08/11/06 20:03:49 [Note]: 7006 0 08/11/06 20:03:49 [Note]: 7011 3136 08/11/06 20:03:49 [Note]: 7026 0 08/11/06 20:03:49 [Note]: 7026 0 08/11/06 20:03:57 [Note]: FSRAW library version 1.7.1019 08/11/06 20:06:47 [Note]: 2000 1006 08/11/06 20:08:02 [Note]: 7007 0 hier schon mal das erste..... |
Da scheint erst mal nix zu sein. Mache mit Ewido weiter. |
Zitat:
lesen und verstehen ist deine Aufgabe. |
Zitat:
Deine Antwort hat nichts mit dem Problem des TO zu tun. Ich habe den Eindruck, dass ich Dich der Boardleitung wärmstens zur Beobachtung empfehlen sollte. |
Zitat:
pppfff |
Zitat:
wer sich hier jetzt nicht auf der sachliche schiene festschnallt, der wird aus dem raum begleitet... wenn es diskussionsbedarf untereinander gibt, "geht" mit euren unterschiedlichen meinungen ins diskussionsforum oder klärt es per pn hier sollte es aber nur darum gehen, einem to zu helfen... GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif (aus dem buch:"man muss sich durch die kleinen gedanken, die einen ärgern, immer wieder hindurchfinden zu den großen gedanken, die einen stärken.) |
da felix1 an anderer stelle im board auch so aggressiv gegen iso9001 vorgegangen ist, wurde er temporär gesperrt GUA |
Zitat:
Felix hat schon ein paar Kommentare von sich gegeben die nicht ganz i.O. waren, aber eigentlich hat er doch nur versucht auf etwas ganz bestimmtes aufmerksam zu machen...doch hat es leider niemand gemerkt: http://www.trojaner-board.de/showthread.php?t=31308 http://www.trojaner-board.de/showthread.php?t=31314 http://www.trojaner-board.de/showthread.php?t=31306 Da mir das gestern auch zu blöd geworden ist, habe ich einfach meine Ignoreliste erweitert... |
Zitat:
Zitat:
wer sich aber hier für einen anderen weg entscheidet, der sollte, wenn es schief geht, nicht die schuld bei anderen suchen... GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif (aus dem buch:"shit in - shit out") |
--------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 21:39:49 11.08.2006 + Scan-Ergebnis: C:\WINDOWS\system32\byxutur.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. C:\WINDOWS\system32\ddabb.dll -> Adware.Virtumonde : Keine Aktion durchgeführt. HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt. HKU\S-1-5-21-1645522239-1708537768-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2178F3FB-2560-458F-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@ads.addynamix[1].txt -> TrackingCookie.Addynamix : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@ad.adition[2].txt -> TrackingCookie.Adition : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@adtech[1].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@advertising[1].txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@adviva[2].txt -> TrackingCookie.Adviva : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfk4qldpeco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfkiqodpcap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfl4wld5eeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wfmiqhajoco.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@e-2dj6wgmyopdzaep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@fastclick[1].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@server.iad.liveperson[1].txt -> TrackingCookie.Liveperson : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@edge.ru4[2].txt -> TrackingCookie.Ru4 : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Angie\Cookies\angie@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt. ::Berichtende das ist jetzt das zweite.... |
wer hilft mir denn jetzt wenn felix gesperrt worden ist??? |
Logfile of HijackThis v1.99.1 Scan saved at 15:11:55, on 13.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/sysprotect.com/scanner/pages/scanner/SysProtectScannerInstall2.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE so jetzt bin ich mit allem fertig! wie gehts weiter? an wen auch immer.... |
Hi, du hast dir aber WinAntiVirusPro2006 nicht zufällig absichtlich runtergeladen, oder? Außerdem würde ich mal mit clearprog (clicke auf "alles löschen") alle cookies und sonstigen Müll raushauen. Gruß cacatoa |
ne, mir wurde immer empfohlen das antivirus 2006 runterzuladen.... aber ich hab das nicht gemacht! hätte ich es etwa machen sollen??? ok, ich mach das mit dem clearprog .... und danach? |
Hi, angie85, hier ist ein Link betr. WinAntiVirus. Arbeite ihn ab und poste danach ein neues Logfile. Gruß cacatoa |
das ist ja alles schön un gut.... aber ich versteh da nur bahnhof. das fängt schon beim back-up an, mit dieser sicherheitskopie. wie stell ich die her? Kann mir da jemand helfen Bitte? |
Hallo, so jetzt kann ich es nicht mehr mit ansehen. Jetzt knüppeln wir mal kurz das ganze nochmal von Anfang an durch. Was für Probleme hast du jetzt eigentlich noch? Popups? Virenmeldungen? (Bitte möglichst genaue Beschreibung) Poste noch ein Log von Silentrunners. Ich denke fast das der von cacatoa gepostete Link für dich nicht zutrifft, das würde er nur wenn du das Programm Winantivirus Pro 2006 installiert hättest, dies ist aber nicht der Fall (korrigiere mich wenn ich mich täusche). Edit Vergiß den zweiten Teil, ich hatte etwas bei deinem HijackThis Log übersehen. Grüße Wildone |
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SpyBrowser" = "C:\Programme\SpyBro\SpyBro.exe /autostart" [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS] "Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "AdaptecDirectCD" = ""C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" ["Roxio"] "ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "WinAntiVirusPro2006" = ""C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min" [file not found] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] {B5141620-C2B2-4D95-9F0F-134D99C87AB0}\(Default) = (no title provided) -> {HKLM...CLSID} = "IEFW Object" \InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll" ["WinSoftware"] {FB2B76C2-7E54-4356-80BF-8F728BAF7301}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\ddabb.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension" -> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\System\CurrentControlSet\Control\Session Manager\ "BootExecute" = ** WARNING -- empty or invalid data! ** HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! ddabb\DLLName = "C:\WINDOWS\system32\ddabb.dll" [null data] INFECTION WARNING! winjgf32\DLLName = "winjgf32.dll" [file not found] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}" -> {HKLM...CLSID} = "ShellExtension Class" \InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" ["WinSoftware"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}" -> {HKLM...CLSID} = "ShellExtension Class" \InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" ["WinSoftware"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Angie" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"] "LimeWire 4.2.6 Pro" -> shortcut to: "C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe -startup" ["LimeWire, LLC"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data] Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]} ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 79 seconds, including 18 seconds for message boxes) ne ich hab dieses winantivir 2006 nicht installiert. mein bruder ist hier öffters noch am pc, den kann ich jetzt nicht fragen ob er es vielleicht gemacht hat.... |
sorry, zu deiner frage... wenn ich mit dem internet explorer online geh, krieg ich popups von wegen warning error.... |
Hallo, Zitat:
Jetzt besorgst du dir erstmal Counterspy und führst es wie beschrieben aus, besonders das könnte wichtig sein: Zitat:
Grüße Wildone |
Spyware Scan Details Start Date: 17.08.2006 21:51:25 End Date: 17.08.2006 22:36:56 Total Time: 45 mins 31 secs Detected spyware WinAntiVirus Pro Rogue Security Program more information... Status: Deleted Infected files detected c:\programme\winantivirus pro 2006\asmngr.dll c:\programme\winantivirus pro 2006\asupdater.dat c:\programme\winantivirus pro 2006\avkernel.dll c:\programme\winantivirus pro 2006\bksites.dat c:\programme\winantivirus pro 2006\bnlink.dat c:\programme\winantivirus pro 2006\bpupdater.dat c:\programme\winantivirus pro 2006\fat.exe c:\programme\winantivirus pro 2006\fopn.exe c:\programme\winantivirus pro 2006\fopn.sys c:\programme\winantivirus pro 2006\fopnl.dll c:\programme\winantivirus pro 2006\fwsvc.exe c:\programme\winantivirus pro 2006\iefwbho.dll c:\programme\winantivirus pro 2006\install.exe c:\programme\winantivirus pro 2006\insthelp.exe c:\programme\winantivirus pro 2006\lapv.dat c:\programme\winantivirus pro 2006\license.rtf c:\programme\winantivirus pro 2006\online.url c:\programme\winantivirus pro 2006\pgupdater.dat c:\programme\winantivirus pro 2006\phigh.bin c:\programme\winantivirus pro 2006\pmedium.bin c:\programme\winantivirus pro 2006\prc.dat c:\programme\winantivirus pro 2006\prerules.xml c:\programme\winantivirus pro 2006\ps.dat c:\programme\winantivirus pro 2006\pv.dat c:\programme\winantivirus pro 2006\pv.exe c:\programme\winantivirus pro 2006\rpt.dll c:\programme\winantivirus pro 2006\rulsrv.dll c:\programme\winantivirus pro 2006\sqlite3.dll c:\programme\winantivirus pro 2006\sr.log c:\programme\winantivirus pro 2006\st.dat c:\programme\winantivirus pro 2006\support.url c:\programme\winantivirus pro 2006\unins000.dat c:\programme\winantivirus pro 2006\unins000.exe c:\programme\winantivirus pro 2006\uninstall.ico c:\programme\winantivirus pro 2006\uninstallpage.html c:\programme\winantivirus pro 2006\up.dat c:\programme\winantivirus pro 2006\updater.dat c:\programme\winantivirus pro 2006\vbpv.dat c:\programme\winantivirus pro 2006\waupdater.dat c:\programme\winantivirus pro 2006\wav6com.dll c:\programme\winantivirus pro 2006\winpgi.dll c:\programme\winantivirus pro 2006\worldmap.swf c:\programme\winantivirus pro 2006\awbase\database\enemies.dat c:\programme\winantivirus pro 2006\awbase\vbpv.dat c:\programme\winantivirus pro 2006\img\button.gif c:\programme\winantivirus pro 2006\img\button2.gif c:\programme\winantivirus pro 2006\img\header.gif c:\programme\winantivirus pro 2006\img\logo.gif c:\programme\winantivirus pro 2006\img\spacer.gif c:\programme\winantivirus pro 2006\img\top1.jpg c:\programme\winantivirus pro 2006\img\top2.jpg c:\programme\winantivirus pro 2006\img\top_line.gif c:\programme\winantivirus pro 2006\pgbase\vbpv.dat c:\programme\winantivirus pro 2006\res\cross.gif c:\programme\winantivirus pro 2006\res\register.gif c:\programme\winantivirus pro 2006\res\wa6p.gif c:\programme\winantivirus pro 2006\wabase\vbase000.dat c:\dokumente und einstellungen\all users\startmenü\programme\winantivirus pro 2006\winantivirus pro 2006.lnk c:\windows\system32\av.cpl c:\windows\system32\drivers\vspf_hk5.sys c:\windows\system32\drivers\vspf5.sys c:\windows\system32\drivers\fopn.sys c:\windows\system32\stera.exe c:\windows\system32\stera.log C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll Infected registry entries detected HKEY_CLASSES_ROOT\AppID\WinPGI.DLL AppID {367A86A5-D048-4785-86BE-4E2706AAFDD9} HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E} AppID HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}\InprocServer32 ThreadingModel Apartment HKEY_CLASSES_ROOT\CLSID\{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}\Programmable HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235} HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\ HKEY_CLASSES_ROOT\TypeLib\{1234890A-5E6E-4867-8136-CA6F1456B235}\1.0 CheckProduct2Lib HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276} HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\ HKEY_CLASSES_ROOT\TypeLib\{2BC32EF8-BB73-4099-BB2E-0F2951B3E276}\1.0 IEFWBHO 2.0 Type Library HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9} HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\winpgi.dll HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\ HKEY_CLASSES_ROOT\TypeLib\{367A86A5-D048-4785-86BE-4E2706AAFDD9}\1.0 PGIntegrator 1.0 Type Library HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9} HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\0\win32 C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\FLAGS 0 HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0\HELPDIR C:\Programme\WinAntiVirus Pro 2006\ HKEY_CLASSES_ROOT\TypeLib\{732B6533-7F78-4C47-9C01-2979BA0829B9}\1.0 WAV6COM 1.0 Type Library HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 NoRepair 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 NoModify 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 URLUpdateInfo http://www.winsoftware.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 HelpLink http://www.winsoftware.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 URLInfoAbout http://www.winsoftware.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 Publisher WinSoftware, Ltd. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 Inno Setup: Icon Group WinAntiVirus Pro 2006 HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings EnableIEBlockSite 2 HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VSScan 0 HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings VirusShield 1 HKEY_CURRENT_USER\Software\WinAntiVirus Pro 2006\Settings MailProtect 1 HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\InprocServer32 C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\InprocServer32 ThreadingModel apartment HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\ProgID IEFWBHO.IEFW.2 HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\TypeLib {2BC32EF8-BB73-4099-BB2E-0F2951B3E276} HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0}\VersionIndependentProgID IEFWBHO.IEFW HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} IEFW Object HKEY_CLASSES_ROOT\clsid\{B5141620-C2B2-4D95-9F0F-134D99C87AB0} AppID HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Security Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum 0 Root\LEGACY_VSPF_HK\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum Count 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk\Enum NextInstance 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Type 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Start 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk ErrorControl 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Tag 2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk ImagePath \??\C:\WINDOWS\system32\drivers\vspf_hk5.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk DisplayName vspf_hk HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf_hk Group Streams Drivers HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Security Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum 0 Root\LEGACY_VSPF\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum Count 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf\Enum NextInstance 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Type 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Start 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf ErrorControl 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Tag 9 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf ImagePath \??\C:\WINDOWS\system32\drivers\vspf5.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DisplayName vspf HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf Group PNP_TDI HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DependOnService tcpip HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vspf DependOnGroup HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 EulUWA6PU_0001_N73M1804 1 HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 ProductCode UWA6PU-0001-8882-7773 HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 InstallPath C:\Programme\WinAntiVirus Pro 2006\ HKEY_LOCAL_MACHINE\Software\WinAntiVirus Pro 2006 Abbr UWA6PU HKEY_CURRENT_USER\software\winantivirus pro 2006 HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings MailProtect 1 HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings VirusShield 1 HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings VSScan 0 HKEY_CURRENT_USER\software\winantivirus pro 2006\Settings EnableIEBlockSite 2 Trojan.WinlogonHook.Delf.A Trojan more information... Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge. Status: Deleted Infected registry entries detected HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 94905398 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 1785 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 141 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 34 So, ich habs geschafft. einmal bin ich durch....ich lass ihn grad ein 2. mal durchlaufen... ich wusste nicht ob du den report brauchst aber ich hab ihn trotzdem mal geposted.... |
ich glaub meine englischkenntnisse reichen dafür nicht aus...versteh da nämlich nicht was ich zu tun hab... counterspy ist durch und zeigt nichts mehr an! |
Hallo, dann versuchen wir es mal mit einer deutschen Anleitung. Nur dieser Teil der anleitung ist relevant: Zitat:
Grüße Wildone |
vor die Malware-Einträge Häkchen setzen welche sind das? |
Hallo, den Teil ignorierst du, du hast eine ander Variante. Grüße Wildone |
soll ich denn ATF Cleanerund cleanup anwenden??? |
Nein. Zitat:
Grüße Wildone |
Logfile of HijackThis v1.99.1 Scan saved at 00:07:28, on 18.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {91A8ED78-F850-4AF2-90E0-5F1200853E0D} - C:\WINDOWS\system32\ddabb.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.amaena.com O15 - Trusted Zone: http://locator.cdn.imageservr.com O15 - Trusted Zone: http://locator1.cdn.imagesrvr.com O15 - Trusted Zone: http://scanner.sysprotect.com O15 - Trusted Zone: http://*.systemdoctor.com O15 - Trusted Zone: http://www.winantivirus.com O15 - Trusted Zone: http://www.winantiviruspro.com O15 - Trusted Zone: http://download.cdn.winsoftware.com O15 - Trusted IP range: http://202.67.220.225 O15 - Trusted IP range: http://59.148.220.121 O15 - Trusted IP range: http://62.4.84.53 O15 - Trusted IP range: http://82.98.235.58 O15 - Trusted IP range: http://85.12.25.90 O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/sysprotect.com/scanner/pages/scanner/SysProtectScannerInstall2.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: winjgf32 - winjgf32.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SpyBrowser" = "C:\Programme\SpyBro\SpyBro.exe /autostart" [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS] "Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "AdaptecDirectCD" = ""C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" ["Roxio"] "ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."] "WinAntiVirusPro2006" = ""C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min" [file not found] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "SunServer" = "C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe" ["Sunbelt Software"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {91A8ED78-F850-4AF2-90E0-5F1200853E0D}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\ddabb.dll" [file not found] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" = "jetAudio" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.0.0792.00.dll" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{5E44E225-A408-11CF-B581-008029601108}" = "Adaptec DirectCD Shell Extension" -> {HKLM...CLSID} = "Adaptec DirectCD Shell Extension" \InProcServer32\(Default) = "C:\PROGRA~1\Roxio\EASYCD~1\DirectCD\Shellex.dll" ["Roxio"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\System\CurrentControlSet\Control\Session Manager\ "BootExecute" = ** WARNING -- empty or invalid data! ** HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! winjgf32\DLLName = "winjgf32.dll" [file not found] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}" -> {HKLM...CLSID} = "ShellExtension Class" \InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] ShellExtension\(Default) = "{1AC5C88A-DEA7-462b-A232-04AF5CA42E7E}" -> {HKLM...CLSID} = "ShellExtension Class" \InProcServer32\(Default) = "C:\Programme\WinAntiVirus Pro 2006\WAV6COM.dll" [file not found] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ jetAudio\(Default) = "{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}" -> {HKLM...CLSID} = "JetFlExt" \InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {HKLM...CLSID} = "SafeEraseObj Class" \InProcServer32\(Default) = "C:\Programme\OO Software\SafeErase\oosesh.dll" ["O&O Software GmbH"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Angie" & "All Users" startup folders: ------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation"] "LimeWire 4.2.6 Pro" -> shortcut to: "C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe -startup" ["LimeWire, LLC"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 30 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] BlueSoleil Hid Service, BlueSoleil Hid Service, "C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe" [null data] Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]} ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] |
Hallo, okay, das sieht doch schon ganz gut aus. Jetzt machst du noch vor folgende Einträge einen Haken und klickst auf "fix checked": O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min O15 - Trusted Zone: ht*p://www.amaena.com O15 - Trusted Zone: ht*p://locator.cdn.imageservr.com O15 - Trusted Zone: ht*p://locator1.cdn.imagesrvr.com O15 - Trusted Zone: ht*p://scanner.sysprotect.com O15 - Trusted Zone: ht*p://*.systemdoctor.com O15 - Trusted Zone: ht*p://www.winantivirus.com O15 - Trusted Zone: ht*p://www.winantiviruspro.com O15 - Trusted Zone: ht*p://download.cdn.winsoftware.com O15 - Trusted IP range: ht*p://202.67.220.225 O15 - Trusted IP range: ht*p://59.148.220.121 O15 - Trusted IP range: ht*p://62.4.84.53 O15 - Trusted IP range: ht*p://82.98.235.58 O15 - Trusted IP range: ht*p://85.12.25.90 O20 - Winlogon Notify: winjgf32 - winjgf32.dll (file missing) Counterspy kannst du wieder deinstallieren. Mach mal noch einen Scan mit Ewido und poste noch mal das Ergebnis. Hast du noch irgendwelche Symptome? Popups? Edit Achja, falls noch vorhanden löschst du folgende Ordner: c:\programme\winantivirus pro 2006\ C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\ Grüße Wildone |
--------------------------------------------------------- ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 01:52:46 18.08.2006 + Scan-Ergebnis: C:\VundoFix Backups\ddabb.dll -> Adware.Virtumonde : Mit Backup gesäubert (unter Quarantäne gestellt). C:\WINDOWS\Downloaded Program Files\__delete_on_reboot__U_S_Y_P___0_0_0_3___N_9_1_M_0_9_0_8_N_e_t_I_n_s_t_a_l_l_e_r_._e_x_e_ -> Not-A-Virus.Downloader.Win32.WinFixer.o : Ignoriert. C:\Dokumente und Einstellungen\Angie\Cookies\angie@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. :mozilla.69:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Adition : Gesäubert. :mozilla.70:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Adition : Gesäubert. :mozilla.89:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert. :mozilla.47:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Burstnet : Gesäubert. :mozilla.48:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert. :mozilla.49:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert. :mozilla.51:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert. :mozilla.19:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert. :mozilla.74:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert. :mozilla.75:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert. :mozilla.76:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert. :mozilla.77:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert. :mozilla.78:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert. :mozilla.83:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.84:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.85:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.86:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.87:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.88:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert. :mozilla.32:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.33:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.34:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.35:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.36:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.37:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Fastclick : Gesäubert. :mozilla.22:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Angie\Cookies\angie@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert. C:\Dokumente und Einstellungen\Angie\Cookies\angie@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert. :mozilla.31:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert. :mozilla.38:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert. :mozilla.39:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert. :mozilla.23:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert. :mozilla.30:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert. :mozilla.91:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Webtrendslive : Gesäubert. :mozilla.62:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert. :mozilla.64:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert. :mozilla.67:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert. :mozilla.68:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert. :mozilla.25:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert. :mozilla.26:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert. :mozilla.28:C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert. ::Berichtende die ordner habe ich auch gelöscht.... |
nö, popups hab ich keine mehr... bis jetzt hat sich noch nichts gemeldet.... |
Hallo, okay, dann lösche noch diese Datei: C:\WINDOWS\Downloaded Program Files\__delete_on_reboot__U_S_Y_P___0_0_0_3___N_9_ 1_M_0_9_0_8_N_e_t_I_n_s_t_a_l_l_e_r_._e_x_e_ und dann sind wir durch. Da du jetzt schon das zweite mal hier bist solltest du dir mal überlegen was du falsch machst. Erster Ansatzpunkt wäre keine Dateien aus unseriösen Quellen (P2P, Crackseiten, dubiose Codecs...) auszuführen, trichtere das auch deinem Bruder ein. Zweiter Ansatzpunkt kannst du hier genauer nachschmökern. Grüße Wildone |
hey, super vielen vielen dank.... ich werd schaun, dass ichnie wieder auftauchen muss :o danke nochmal! die datei die du mir genannt hast, finde ich nicht! |
Hier bin ich schon wieder...denn ich bin immer noch nicht alles los geworden oder ich hab mir was neues eingefangen....:headbang: mein antivir meldet mir beim aktuellen suchlauf andauernd trojaner...zur zeitv sind es 44 funde...der aktuelle heißt TR/Adload.MAS.2 !!!! Was soll ich tun? das sollte euch weiterhelfen Logfile of HijackThis v1.99.1 Scan saved at 23:48:38, on 22.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\eMule\eMule.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Winamp\Winamp.exe C:\Dokumente und Einstellungen\Angie\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yooliety.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {91A8ED78-F850-4AF2-90E0-5F1200853E0D} - C:\WINDOWS\system32\ddabb.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: LimeWire 4.2.6 Pro.lnk = C:\Programme\LimeWire\LimeWire 4.2.6 Pro\LimeWire.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/sysprotect.com/scanner/pages/scanner/SysProtectScannerInstall2.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: winjgf32 - winjgf32.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE nun sind es schon 55 funde :eek: |
Hallo, ach Mädel, wie schaffst du das denn jedesmal? Und, wie immer, brauche ich die genauen Bezeichnungen und die genauen Pfade der Dateien. Grüße Wildone |
Hi, ich mal wieder... Könnte es sein, daß Dein Bruder etwas gegen Spyware tun wollte? Deswegen: O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart. Nur mal so ein Verdacht auf die Frage von Wildone: Zitat:
|
Hallo, ich bin mir nicht sicher ob Sabina in dem Fall richtig liegt, so ist weder Spybrowser, noch Spyware Browser in der berühmten Rogue Antispyware Liste. Es gibt sowohl Berichte die für Malware sprechen, aber auch welche die dagegen sprechen. Die Herstellerseite scheint macht mir jetzt keinen total unseriösen Eindruck. Wenn die Quelle nicht klar ist aus der es kommt, würde ich es mal deinstallieren, glaube aber nicht das es zur Lösung des Problems beitragen wird. Grüße Wildone |
nun.... ich hab nach der prüfung von antivir alles unter quarantäne setzen lassen. nach dem durchgang hab ich alle datein aus der quarantäne löschen lassen. nun zeigt er mir nix mehr an...ich hatte: TR/Adload.MAS, MAS.2, MAS.3 und ich glaub sogar MAS.4 diese waren alle in dem ordner c/WINDOWS/system32 müsst ihr noch was wissen? bin ich die jetzt los oder war das noch nicht alles? manchmal spinnt mein pc so nen bischen, mit der maus lässt sich nix mehr anklicken....keinen ahnung ob das damit zusammen hängt! |
Hallo, so ein paar Dateinamen wären ganz nett. Ev. kannst du ja mal in der Reportdatei von Antivir nachschauen und die Meldungen posten. Poste mal außerdem die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten vier Wochen abkopieren. Grüße Wildone |
hier einmal der report von antivir AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 22. August 2006 23:06 Es wird nach 484638 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Angie Computername: ANGIE-PRQVOM9A5 Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 14.05.2006 16:53:57 AVSCAN.DLL : 7.0.0.42 57384 14.05.2006 16:53:57 LUKE.DLL : 7.0.0.42 118824 14.05.2006 16:53:57 LUKERES.DLL : 7.0.0.42 32808 14.05.2006 16:53:57 ANTIVIR0.VDF : 6.35.0.1 7371264 14.05.2006 16:53:57 ANTIVIR1.VDF : 6.35.1.122 1270784 14.05.2006 16:53:57 ANTIVIR2.VDF : 6.35.1.123 2048 14.05.2006 16:53:57 ANTIVIR3.VDF : 6.35.1.125 9728 14.05.2006 16:53:57 AVEWIN32.DLL : 7.1.1.2 1782272 14.05.2006 16:53:57 AVPREF.DLL : 7.0.0.1 53288 14.05.2006 16:53:57 AVREP.DLL : 6.35.1.100 757800 14.05.2006 16:53:57 AVRPBASE.DLL : 7.0.0.0 2162728 14.05.2006 16:55:46 AVPACK32.DLL : 7.1.0.1 335912 14.05.2006 16:53:57 AVREG.DLL : 6.31.0.90 27688 14.05.2006 16:53:57 NETNT.DLL : 6.32.0.0 6696 14.05.2006 16:53:57 NETNW.DLL : 6.32.0.0 9768 14.05.2006 16:53:57 RCIMAGE.DLL : 7.0.0.71 1642536 14.05.2006 16:53:58 RCTEXT.DLL : 7.0.0.75 77864 14.05.2006 16:53:58 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Bootsektoren..................: C,G,A,D,E Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Dienstag, 22. August 2006 23:06 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 39 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'G:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 22 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Anwendungsdaten\Mozilla\Firefox\Profiles\ctc9n305.default\parent.lock [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Angie\Lokale Einstellungen\Temp\hsperfdata_Angie\3860 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\VundoFix Backups\atfmybys.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551771a.qua' verschoben! C:\VundoFix Backups\bwhmqyya.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537722.qua' verschoben! C:\VundoFix Backups\cjsordws.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7719.qua' verschoben! C:\VundoFix Backups\ephyrulu.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44dc1f8b.qua' verschoben! C:\VundoFix Backups\eqxmqryk.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637726.qua' verschoben! C:\VundoFix Backups\fabacnfn.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d771b.qua' verschoben! C:\VundoFix Backups\fhtbpile.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455f7726.qua' verschoben! C:\VundoFix Backups\hqdxmjwr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7732.qua' verschoben! C:\VundoFix Backups\irxaxafq.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637736.qua' verschoben! C:\VundoFix Backups\iufljuju.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4551773c.qua' verschoben! C:\VundoFix Backups\iwohmfkh.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7743.qua' verschoben! C:\VundoFix Backups\kgbhtqke.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7736.qua' verschoben! C:\VundoFix Backups\lnpwlpmv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\lnsbighb.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\sogarvnl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4552774f.qua' verschoben! C:\VundoFix Backups\stlgbgmi.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde gelöscht. C:\VundoFix Backups\tumwfiso.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.3 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4558776d.qua' verschoben! C:\VundoFix Backups\yvkbugek.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567772.qua' verschoben! C:\WINDOWS\SoftwareDistribution\EventCache\{81CD9779-3E3D-4DEC-B095-86304408B219}.bin [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\anfdawfw.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517a98.qua' verschoben! C:\WINDOWS\system32\bagcvujr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527a90.qua' verschoben! C:\WINDOWS\system32\btsjvgpv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7aa6.qua' verschoben! C:\WINDOWS\system32\bxeesgwb.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507aab.qua' verschoben! C:\WINDOWS\system32\ctfrftyw.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517ab0.qua' verschoben! C:\WINDOWS\system32\cvprcjow.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455b7ab4.qua' verschoben! C:\WINDOWS\system32\dhboxixk.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7aac.qua' verschoben! C:\WINDOWS\system32\dsycwedj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647abd.qua' verschoben! C:\WINDOWS\system32\dtcsxpnf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ac1.qua' verschoben! C:\WINDOWS\system32\dvlwvixd.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577ac5.qua' verschoben! C:\WINDOWS\system32\dxxsukoh.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ac9.qua' verschoben! C:\WINDOWS\system32\gnuwsigx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45607ac4.qua' verschoben! C:\WINDOWS\system32\haohwmdi.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455a7ab9.qua' verschoben! C:\WINDOWS\system32\idgwnjdj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45527abf.qua' verschoben! C:\WINDOWS\system32\ihiatabs.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ac5.qua' verschoben! C:\WINDOWS\system32\jpdaeclg.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ad4.qua' verschoben! C:\WINDOWS\system32\jrigiavr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45547ad8.qua' verschoben! C:\WINDOWS\system32\juhembfa.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45537add.qua' verschoben! C:\WINDOWS\system32\jxxnnaoj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45637ae2.qua' verschoben! C:\WINDOWS\system32\lnrjmhhx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455d7ae0.qua' verschoben! C:\WINDOWS\system32\lpcrpbme.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7ae4.qua' verschoben! C:\WINDOWS\system32\lrsmbref.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7ae8.qua' verschoben! C:\WINDOWS\system32\lufbbocl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517aed.qua' verschoben! C:\WINDOWS\system32\nhkeyilx.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567b59.qua' verschoben! C:\WINDOWS\system32\pvvnkabv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45617b95.qua' verschoben! C:\WINDOWS\system32\pxctpxxv.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454e7b9a.qua' verschoben! C:\WINDOWS\system32\sndqucjf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454f7ba1.qua' verschoben! C:\WINDOWS\system32\srlmwrdc.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45577baa.qua' verschoben! C:\WINDOWS\system32\sxeqkigr.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bb8.qua' verschoben! C:\WINDOWS\system32\udbdveuf.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '454d7bae.qua' verschoben! C:\WINDOWS\system32\vdktioot.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45567bbc.qua' verschoben! C:\WINDOWS\system32\vlequefl.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45507bc7.qua' verschoben! C:\WINDOWS\system32\wxqmppcy.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455c7c01.qua' verschoben! C:\WINDOWS\system32\xwybtlni.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647c04.qua' verschoben! C:\WINDOWS\system32\ylywytec.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45647bfc.qua' verschoben! C:\WINDOWS\system32\yuftbfkj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45517c08.qua' verschoben! C:\WINDOWS\system32\yxsghooj.exe [FUND] Ist das Trojanische Pferd TR/Adload.MAS.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '455e7c0f.qua' verschoben! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Dienstag, 22. August 2006 23:54 Benötigte Zeit: 48:17 min Der Suchlauf wurde vollständig durchgeführt. 3265 Verzeichnisse wurden überprüft 145738 Dateien wurden geprüft 55 Viren bzw. unerwünschte Programme wurden gefunden 3 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 52 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1497 Archive wurden durchsucht 26 Warnungen 4 Hinweise |
Hallo, hmm, gefällt mir nicht. Könnte zwar sein das es nur Reste waren, und Antivir da erst jetzt drauf anspringt, aber poste mal auf jeden Fall die Logfiles. Grüße Wildone |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\WINDOWS\system32 17.08.2006 23:37 13.844 epvpamtc.exe 17.08.2006 22:50 13.844 axvuhsyd.exe 17.08.2006 21:41 13.844 yvaptklg.exe 17.08.2006 21:01 13.844 cmbgujon.exe 13.08.2006 07:54 143 mcrh.tmp 09.08.2006 21:03 8.325.544 MRT.exe 02.08.2006 21:18 2.206 wpa.dbl 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 21.07.2006 10:29 72.704 hlink.dll 14.07.2006 17:38 332.288 netapi32.dll 14.07.2006 17:25 546.304 hhctrl.ocx Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\DOKUME~1\Angie\LOKALE~1\Temp 23.08.2006 20:15 240 datFind.zip 23.08.2006 19:38 112.796 xpinstall.exe 23.08.2006 19:38 1.324.838 tmp.xpi 23.08.2006 19:27 40.960 rtdrvmon.exe 23.08.2006 15:23 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}603.html 23.08.2006 13:06 3.137 jusched.log 23.08.2006 12:58 65.536 ~DF9F9A.tmp 23.08.2006 12:57 16.384 ~DF3E1.tmp 23.08.2006 12:57 16.384 ~DFE162.tmp 23.08.2006 12:57 512 ~DFE173.tmp 22.08.2006 19:07 2.496 java_install_reg.log 21.08.2006 14:22 0 jinstall.cfg 21.08.2006 14:13 65.536 ~DFEAEF.tmp 20.08.2006 23:23 0 nuaA6.tmp 20.08.2006 23:23 0 ocuA5.tmp 20.08.2006 23:22 0 nhlA4.tmp 20.08.2006 14:43 0 NBR67.tmp 20.08.2006 00:32 0 y0p27.tmp 20.08.2006 00:29 0 7nm26.tmp 20.08.2006 00:28 0 muw25.tmp 20.08.2006 00:22 65.536 ~DFD796.tmp 18.08.2006 01:58 14.756 Z@R15.tmp 18.08.2006 01:58 9.016 Z@R11.tmp 18.08.2006 01:58 17.192 Z@RD.tmp 18.08.2006 01:58 21.464 Z@R9.tmp 18.08.2006 01:58 17.368 Z@R5.tmp 27.07.2006 01:40 251.656 AutoDL%3FBundleId=10641_b1977ba6.exe 27 Datei(en) 2.046.790 Bytes 0 Verzeichnis(se), 10.149.834.752 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\WINDOWS 23.08.2006 19:38 2.896 mozver.dat 23.08.2006 17:46 387 lexstat.ini 23.08.2006 13:04 1.931.102 WindowsUpdate.log 23.08.2006 12:57 0 0.log 23.08.2006 12:56 159 wiadebug.log 23.08.2006 12:56 50 wiaservc.log 23.08.2006 12:56 2.048 bootstat.dat 23.08.2006 00:59 32.588 SchedLgU.Txt 16.08.2006 21:29 4.868 cdplayer.ini 14.08.2006 13:41 0 nsreg.dat 14.08.2006 13:41 107.132 UninstallFirefox.exe 17.06.2006 22:24 151 PhotoSnapViewer.INI Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C0FD-FF8D Verzeichnis von C:\ 23.08.2006 20:20 0 sys.txt 23.08.2006 20:20 4.194 system.txt 23.08.2006 20:19 1.619 systemtemp.txt 23.08.2006 20:19 95.820 system32.txt 23.08.2006 12:56 553.648.128 pagefile.sys 18.08.2006 00:04 4.642 VundoFix.txt 10.08.2006 22:20 891 rapport.txt2.txt 10.08.2006 22:20 891 rapport.txt 27.04.2006 20:02 32 ALCSetup.log |
Hallo, scheint harmlos zu sein, das sind wohl noch die Reste von dem Schädling den wir schon beseitigt haben. Lösche noch folgende Dateien aus dem System32 Ordner: 17.08.2006 23:37 13.844 epvpamtc.exe 17.08.2006 22:50 13.844 axvuhsyd.exe 17.08.2006 21:41 13.844 yvaptklg.exe 17.08.2006 21:01 13.844 cmbgujon.exe 13.08.2006 07:54 143 mcrh.tmp Außerdem löschst du noch den Ordner C:\VundoFix Backups\ Im Prinzip sollte es das gewesen sein. Aber beobachte mal dein System weiter, falls, entgegen meiner Vermutung, noch etwas kommen sollte meldest du dich wieder, ansonsten war das jetzt aber wirklich mein letztes Posting in den Userforenhttp://www.comicforum.de/comicforum/...lies/wavey.gif Grüße Wildone |
danke :bussi: |
und da ist nochmal was.... und zwar: TR/Adload.MAS.3 Quelle ist: C:/System Volume Information\_resort(A17E5493-3DC2-4BAC-BE7F54C9D2CD2339)\RP183\A0126078.exe |
mOIn angie85, deaktiviere die Systemwiederherstellung --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden. MFG |
Ich hab auch ein Problem mit folgender Datei: mcrh.tmp und diesem Ordner C:\VundoFix Backups\ ich kann beide nicht löschen. Windows sagt: Datei wird von einem anderen Programm verwendet. Was soll ich tun?? Hat das was damit zu tun, dass ich keine Dateien downloaden kann, d.h. Win sagt immer: Datei bereits vorhanden. Überschreiben?, obwohl die Datei keinesfalls im jeweiligen Ordner ist. Wenn ich dann auf Ja klicke und die Datei heruntergeladen ist sagt er, dass er die Datei nicht öffnen kann, weil sie von einem anderen Prozess oder Programm verwendet wird. HILFE!!:confused: :heulen: Auch Windows Live Mail Desktop Beta hat bis gestern noch funktioniert nun kann ich das Programm nicht mehr öffnen kommt ne komische Fehlermeldung. Als Admin im Abgesicherten Modus gings noch. |
hey hab glaube den selben virus -.- hier schonmal der : HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2hoffe ihr könnt mir helfen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:53 Uhr. |
Copyright ©2000-2025, Trojaner-Board