|
Trojan-Spy.Win32@mx Hallo, ich habe seit einigen Tagen einen Trojaner/Wurm auf meinem PC. Ich verwende Windows XP. Das Problem ist, dass mein PC immer ausgeht, wenn ich ihn scannen/überprüfen lasse, egal mit welchem Programm (z.B. CCleaner, Kaspersky). Der PC geht dann einfach aus (ohne den Vorgang "Windows wird heruntergefahren"), fährt aber auch direkt wieder normal hoch. In der Taskleiste kam immer die Meldung "Trojan-Spy.Win32@mx" und danach kam noch eine Meldung mit einem Virus, dessen Bezeichnung ich nicht mehr weiß. Als das mit dem Trojaner angefangen hat, haben sich öfters Webseiten geöffnet wie z.B. "Ihre Festplatte wird nun gescannt" und immer öffnen sich, wenn der PC wieder hochfährt, dass ich ein Prgramm namens "Locussoftcorp LTD" runterladen soll. Also Hauptproblem ist wie gesagt, dass der PC immer einfach ausgeht, wenn ich die Festplatte scannen oder bereinigen lassen möchte. Und mittlerweile kommt dann immer eine Nachricht, wenn der PC ausgeht, die blau hinterlegt ist. Unter rechtsklick Arbeitsplatz, Erweitert habe ich das Häckchen bei der Einstellung "Automatisch Neustart durchführen" auch schon entfernt. Hat auch noch nichts geholfen. Hier habe ich eine Log-File mit HijackThis erstellen lassen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:42:55, on 26.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll (file missing) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe" O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe" O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 8450 bytes Ich hoffe mir kann jemand weiterhelfen und bedanke mich im Voraus. |
mann mann mann...da hab ich aber schon bessere logs gesehen ;-) eins vorneweg : der pc ist überfüllt mit adware ! also müssen wir jetzt herausbekommen, wer (oder was) dafür verantwortlich ist.... obwohl meinerseits die fast vollkommene sicherheit auf malware besteht, folgende dateien bitte trotzdem noch bei Online Malware scan auswerten lassen, und ergebnis hier umgehend posten! Zitat:
|
Ich habe jetzt die 3 folgenden Dateien überprüfen lassen, habe allerdings diese 4 Dateien nicht finden können: C:\Programme\AdvancedCleaner Free\ian_monitor.exe C:\Programme\WinPCDoctor\SysRep.exe (statt dieser Datei von WinPCDoctor wurde mir nur die erste ausgewertete Datei angezeigt: strpmon.exe) C:\Programme\NetProject\scit.exe C:\Programme\NetProject\sbmntr.exe Datei: strpmon.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir TR/Crypt.CFI.Gen gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:FraudTool.Win32.ErrClean.a gefunden NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: setup_en[1].exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: Not analyzed yet (more info) A-Squared Riskware.Downloader.Win32.WinFixer.ec gefunden AntiVir SPR/Fake.Syscontrol gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Purityscan.AC gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Downloader.W32.WinFixer.cn gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:Downloader.Win32.WinFixer.ec (6, 2, 603) gefunden Fortinet Download/WinFixer gefunden Ikarus Win32.SuspectCrc gefunden Kaspersky Anti-Virus not-a-virus:Downloader.Win32.WinFixer.ec gefunden NOD32 Win32/Adware.WinFixer application gefunden Norman Virus Control W32/DLoader.FQUK gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Downloader.Win32.WinFixer.ec gefunden Datei: install_en[1].exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: High threat detected (more info) A-Squared Riskware.Downloader.Win32.WinFixer.au gefunden AntiVir SPR/Fake.Syscontrol gefunden ArcaVir Riskware.Downloader.Winfixer.Au gefunden Avast Keine Viren gefunden AVG Antivirus WinFixer.AJC gefunden BitDefender Trojan.Generic.73705 gefunden ClamAV Adware.Fakealert-39 gefunden CPsecure Downloader.W32.WinFixer.au gefunden Dr.Web Trojan.DownLoader.36408 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:Downloader.Win32.WinFixer.au (6, 2, 603) gefunden Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:Downloader.Win32.WinFixer.au gefunden NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control W32/WinFixer.AYK gefunden Panda Antivirus Application/AVSystemCare gefunden Rising Antivirus Trojan.DL.Win32.WinFixer.au gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Downloader.Win32.WinFixer gefunden |
hi bitte lasse folgende datei hier oder hier online scannen: O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe diese einträge bitte fixen: O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing) O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll file missing) O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe (zuerst im taskmanager prozess beenden) O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe" (prozess beenden) O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe" (auch hier zuerst prozess beenden) O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" (prozess vorher beenden) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing) lade dir folgendes tool herunter ---> killbox lösche nun folgende dateien mit killbox: C:\Programme\NetProject ( den ganzen ordner!! Ich habe den Verdacht das dies die Ursache für all die Malware auf deinem system verantwortlich ist:D) c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe C:\Programme\WinPCDoctor (ist ja nichts systemlastiges also ganzen ordner löschen!!!!) C:\Programme\AdvancedCleaner Free (auch hier ganzen danach neues logfile posten;) ich hoffe habe alles notwendige gesagt ;) lade dir das hier herunter und folge der darunterliegenden Beschreibung ps. bitte gehe auch noch in den abgesicherten modus und lasse dein system komplett scannen |
...und wieder wird einem ahnungslosen glaubhaft erklärt, wie er so eine Windows-Büchse ohne neuaufsetzen wieder auf Vordermann bekommt. Na denn........:huepp: |
Zitat:
Das Neuaufsetzen fast immer die beste lösung ist bei Malwarebefall ist ja relativ klar:) ABER: die malware die dieser user drauf hat sollte man mit ein bisschen geduld wegkriegen;) ps. nimm dem user nicht die Hoffnung:D |
ich kann die programme AdvancedCleaner Free und NetProject unter den angegebenen Pfaden nicht finden. habe auch die versteckten dateien anzeigen lassen. außerdem wird bei mir nicht die datei SysRep.exe von dem programm WinPCDoctor angezeigt, sondern nur strpmon.exe. dann habe ich noch einen ordner mit WinPCDoctor, aber da sind nur 3 dateien enthalten, die alle 0 kbyte verbrauchen. ich würde ja mein pc formatieren, aber ich benötige noch dateien, die ich übers netzwerk auf einen anderen pc schicken will und am end sind die viren dann auf dem pc. wenn die viren weg sind, formatiere ich sowieso. |
weiß jetzt nicht ob sich hier irgendwas geändert hat. ich habe bei dem programm jetzt bei den genannten dateien ein häckchen gemacht und bin dann auf fix checkt (?) gegangen und hoffe mal jetzt hat sich schonmal was geändert. danke auf jeden fall schonmal. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:33:10, on 27.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 8089 bytes |
Tja , netproject zu empfehlen......... |
Zitat:
|
@DocBrown ich weiss ja nicht was deine Beiträge sollen aber wenn du aufmerksamkeit brauchst bist du hier an der falschen Adresse;) also bitte hör auf unnötiges zeug zu posten danke:daumenhoc @DJ86 bitte downloade dir combofix und poste danach das logfile danke hier findest du noch nützliche infos zum tool und gebrauch lass die datein die dir angezeigt wird (strpmon.exe) hier oder hier scannen:daumenhoc bitte fixe auch folgende einträge: O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - (no file) O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') danach neues logfile posten ;) |
Tja, dann will ich mal was nützliches posten!!:daumenhoc Da ich Prog. bei Dell bin (seit 12 J.) kann ich Dirvielleicht einen Tip geben ,wie die Geschichte ausgehen wird. Die empfehlen Dir andere Prog. die Dir helfen sollen den Mist aufzuspüren. Über die Progr. weiss man GAR NICHTS..sie sollen helfen aber wie sie es genau machen weiss kein Hund. :juul: Du kannst Glück haben das nach dieser ganzen Prozedur OBERFLÄCHLICH alles "gelöscht" ist, aber unten tief im Wasser lauert noch immer der Hai. glaubs mir. Von den Notebooks und Desktops die bei uns , wegen Serviceleistung, zurück kommen sind ca. alle verseucht( Windows). Obwohl alle natürlich von Gdata bis Symantec(lach) die "neusten" Helfer drauf haben. Alle basierend auf Virensignaturen..........2008 ist das zu wenig!!!! Um wirklich eine Malware entfernen zu können ,müsste man dieses,wenn überhaupt, MANUELL machen in der registry...........ich bezweifele, ob man da alles finde würde, selbst wenn man weiss wonach man sucht.:juul: Meine Empfehlung: 1. Nutze als GRUNDSYSTEM IMMER EINE LINUX-DISTRIBUTION!!! 2. viele können oder wollen noch nicht auf Windows verzichten........deshalb installiere dir Windows in eine VIRTUELLE BOX und nicht als Dualboot-System. Da gehört Windows nämlich hin.Und nur dahin.:juul: Keine Angst....die meisten Linux-Systeme (Fedora, Ubuntu.etc) sind mittlerweile selbsterklärend. Beim ersten mal sollte man sich aber vielleicht Hilfe in den entsprechenden Foren holen. Ich verspreche Dir das die WAHRSCHEINLICHKEIT von malware befallen zu werden auf ein MINIMUM reduziert wird. Viel Erfolg!!:daumenhoc |
Zitat:
ich folge erstmal den anweisungen von "virus" und entscheide dann! außerdem war deine nachricht jetzt auch nicht so hilfreich, also melde dich doch am besten gar nicht mehr in dem forum, dich kann hier eh glaube niemand gebrauchen mit deinen dämlichen kommentaren. musst ja ein sehr schlauer fuchs sein, wenn du für so eine big firma arbeitest. weißt bestimmt am besten bescheid. |
also, ich habe jetzt versucht mit combofix das problem zu lösen, aber das hat auch nicht funktioniert, weil der computer wieder mal einfach ausgegangen ist. wieso geht der denn immer aus, sobald ich ein programm starte, das die festplatte reinigen (z.b. ccleaner) oder scannen soll?? das einzige was probelmlos funktioniert ist HijackThis und der Online-Scan. hier ist die auswertung der datei "strpmon.exe" von WinPCDoctor: Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic10.BNR gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Trojan.Fakealert.482 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:FraudTool.Win32.ErrClean.a (6, 2, 616) gefunden Fortinet Keine Viren gefunden Ikarus DroppedWin32.Worm.Stration.EM gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
...und wann glaubs Du meine Geschichte?? Es wird so ausgehen wie beschrieben!:nixda: |
Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Boote im abgesicherten Modus -Starte es dann und lass das System Reinigen. (Option 2) http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt |
So, habe das jetzt mal gemacht. Einmal mit SmitFraudFix und dann noch einmal mit HiJackThis. Hat sich denn jetzt schon etwas geändert?? SmitFraudFix v2.308 Scan done at 19:26:28.26, 2008-03-30 Run from C:\Dokumente und Einstellungen\From Autumn To Ashes\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\Programme\Helper\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:37, on 2008-03-30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 6306 bytes @DocBrown: das weiß ich jetzt noch nicht ob ich deine geschichte glauben kann, ich bin nämlich kein fachmann, aber wenn das so stimmt wie du es sagst, dann könnte man ja bei jedem virus den pc formatieren und die ganzen programme gegen viren usw. würden nichts bringen oder hast du das jetzt speziell auf die malware bezogen?? |
Das Log sieht für mich sauber aus. |
hier habe ich jetzt nochmal eine log-file, nach dem ich den CCleaner und den virenscanner Kaspersky drüberlaufen lassen habe. Kaspersky hatte noch einen trojaner gefunden, den ich dann gelöscht habe. und der pc ist kein einziges mal mehr einfach ausgegangen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:10, on 2008-03-30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NortonAntiBot.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABMonitor.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe O23 - Service: SymantecAntiBotAgent - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe O23 - Service: SymantecAntiBotWatcher - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe -- End of file - 6941 bytes |
Zitat:
Das ist richtig!! Und ich würde jeden raten neu zu formatieren, besonders wenn man sensible Daten auf der Platte hat. Ein Schutz davor kann meine beschriebene Lösungsmöglichkeit sein. Sie kostet etwas arbeit, aber danach läuft die Kiste richtig. ZU deinem Loggfile-: Sieht so sauber aus..........aber . Wenn Du einfach nicht neu installieren willst dann nutze zur Überprüfung wenigstens das chinesische Tool ICESWORD. das ding hat zwar auch keinen bekannten Quellcode, muss aber zumindest nicht per .exe installiert werden. Vorher sehr gründlich mal die Anleitung durchlesen : http://c-ko.blogspot.com/2006/05/einfhrung-in-icesword.html Download: http://www.chip.de/downloads/IceSword-1.22_20302556.html Der JUnge hat AHNUNG !! Unter Icesword führst du nur folgende Operation am offenen Herzen durch: Reboot and Monitor Mit der Funktion File->Reboot and Monitor im Hauptmenü von IceSword kann man die Prozesserzeugung von Anfang an aufzeichnen. Wenn man diesen Menüpunkt auswählt, wird der Rechner neu gestartet. Wenn man dann IceSword öffnet, werden unter Log Process/Thread Creation alle Prozesse angezeigt, die während des Startvorgangs erzeugt wurden. Bei entsprechend gründlicher Überprüfung dieser Liste sollte man so gut wie jedes Schadprogramm finden (jedes, das als eine EXE Datei vorliegt, DLLs oder Treiber werden nicht angezeigt). SOLLTE AUCH NUR EINE ZEILE ,DIE NACH DEM REBOOT ANGEZEIGT WIRD, ROT MARKIERT SEIN SPRINGE ÜBER DEINEN SCHATTEN UND MACH DIE KISTE NEU. |
und wie kann ich jetzt das ergebnis von IceSword hier rein kopieren? was bedeutet das denn, wenn da prozesse rot aufgeführt werden? und was ich noch wissen wollte, hab hier im forum manchmal was über "ausführbare dateien" gelesen. zählen dazu auch bilder, mp3s oder word-dokumente? |
Rot: Prozess erzeugt neuen Thread in einem fremden Prozess. Die roten Einträge sollte man sich besonders genau ansehen. Das Erzeugen von einem Thread in einem fremden Prozess ist ein typisches Merkmal von Code-Injection bzw. DLL-Injection. Sind denn bei dir Prozesse nach dem reboot rot?? wieviele?? |
Und schau nach, ob bei den Kernel-Modulen auch was rot erscheint. Das sind dann fremde VERSTECKTE Treiber und mit Sicherheit Schadprogramme. |
die folgenden einträge sind rot: 42. winlogon.exe 772 640 System 4 696 43. winlogon.exe 772 640 System 4 704 278. services.exe 816 820 NABWatcher.exe 1372 1396 385. avp.exe 1876 2148 System 4 2300 611. ICQ.exe 228 1840 System 4 3204 612. ICQ.exe 228 1056 System 4 3208 615. avp.exe 1876 3212 System 4 3220 616. avp.exe 1876 3212 System 4 3224 667. ICQ.exe 228 1056 System 4 3428 670. avp.exe 1876 3436 System 4 3440 724. ICQ.exe 228 1056 System 4 3656 726. avp.exe 1876 3660 System 4 3664 964. explorer.exe 1672 2736 System 4 2756 965. explorer.exe 1672 2736 System 4 2712 bei den Kernel-Modulen ist nichts in einer anderen farbe, scheint also normal zu sein |
ich empfehle dir den rechner neu zu machen. das risiko würde ich als zu hoch betrachten. explorer.exe rot läuft ein schadprogramm. |
ich hab gestern, nachdem ich den virus bereinigt habe und ccleaner drüberlaufen lassen habe, meinen ordner eigene dateien auf einen anderen pc übers netzwerk geschickt. da sind bilder, musik, videos, word- und excel-dateien usw. drin. besteht jetzt die gefahr, das sich da noch was übertragen hat? |
DocBrown hast Du noch was anderes als Ratschläge, die jeder Logik entbehren und hanebüschenen Namebashings? |
Zitat:
ich hoffe du hast vorher alles überprüfen lassen:daumenhoc wenn nicht......:headbang: |
eigentlich waren wir von meiner sicht her auch noch nicht fertig mit dem Beseitigen:( BataAlexander hat dir ja entwarnung gegeben was ich noch nicht gemacht hätte:rolleyes: |
also, die sache sieht nun so aus. ich habe bevor ich den ordner eigene dateien auf den andern pc geschickt habe glaube 2 mal den virenscanner über den ordner laufen lassen und der hat nix gefunden. und mittlerweile habe ich auch den pc formatiert, somit sollten doch jetzt sämtliche viren usw. beseitigt sein, oder?? sei denn bei eigene dateien wäre ein virus gewesen, aber da hat doch vorher nix drauf hingedeutet, oder sehe ich das falsch? |
du hast gesagt, du hast u.a. word- bzw. excel-dateien gesichert... reeeeeeeein theoretisch könnte ein schadprogramm bösartigen 'code' in form von sog. makros hier reingepflanzt haben.... |
hmm, das wäre natürlich sch..., denn dann wären jetzt 2 pcs infiziert. wenn der ganze sums wieder aufm meinem pc ist, werde ich auf jeden fall nochmal ein log-file erstellen lassen und stell es hier rein. dauert noch einige minuten bis das ganze zeug wieder aufm pc is, aber bis jetzt hat auch das anti-viren-programm noch nichts gemeldet. |
teils OT: Trojan-Spy.Win32@mx Zitat:
Hier lag ein "simpler" Befall mit der Smitfraud / Errorcleaner Family vor. Diese hast Du zu großen Teilen, einzeln löschen lassen. Dazu noch ein paar andere Sachen, die der User dann halt mal verschmerzen muss, nLite, Adobe Acrobat, aber das kann ja passieren, wenn man sich damit nicht richtig auskennt. :D @dobrown: Generell hast Du recht: Ein Linux ist schon eine tolle und sichere Sache, grade von einer Live CD. Hier liegt aber kein Linux vor, der User benutzt Windows XP. Also damit arbeiten. Und wenn Du rätst, den Rechner neu zu machen, da er von irgendwas befallen wurde, so hast Du auch hier recht, allerdings ist es nicht praktikabel. Der User kann diesen Befall leicht wieder loswerden, oder so wie virus es ihm gezeigt hat, und mit dem System weiterarbeiten. Sicherlich immer mit einem Restrisiko der Infektion. Dieses Restrisiko gibt es allerdings immer, zu jedem Zeitpunkt und auf jedem System, man muss sich dessen nur bewußt sein. Zitat:
Zur Verwendung von Icesword: Gern, aber bitte richtig, nicht den User hier den Teufel an die Wand malen! Rote Einträge, bedeuten zunächst erst mal nichts, sie müssen interpretiert werden. In unserem Fall zeigen sich typische Merkmale der AV Preogramme und des allseits beliebten ICQ, welches sich immer einen Weg nach außen bohrt und von so manchem Admin gehaßliebt wird. Auch hier sieht man keine Bedrohung. Zitat:
Zitat:
|
PHP-Code: naja, nachm formatiern is wenigstens wieder ordnung, weil es hier und da aussah, als wäre ne bombe eingeschlagen, nachdem ich hier ein tool nach dem andern runtergeladen habe. ich hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge. und vor 2 tagen wollte ich auch combofix mal ausprobiern, aber da war auch mein pc wieder einfach ausgegangen. das programm war mir ehrlich gesagt auch nicht so geheuer, nachdem ich die anleitung gelesen hab. allein schon die meldung, wenn man das programm startet, "jeder hunderteste pc übersteht das nicht" oder so... |
ch hatte vor dem formatiern noch ein zweites mal das programm icesword benutzt und da waren dann noch viel mehr rote einträge. Du hast das richtige getan!!! Auch wenn es nur ein "Simpler Befall war" und nichts anderes.:kloppen::Boogie::heilig::headbang::daumenhoc:aplaus::rolleyes: Denk dran regelmäßig image ziehen, jetzt. |
Zitat:
Ich weiss du glaubst du seiest der einzige mit Ahnung, schlussendlich konnte ich jedem user in jedem Thread bei dem ich gepostet habe helfen:eek: ps. es kann immer mal vorkommen das man etwas einfaches schwieriger macht als das es ist. Trotzdem solltest du nicht alles bemänglen was nicht genau so gemacht wird wie du es gemacht hättest:daumenhoc Zitat:
Adobe Acrobat?? ist wirklich extrem wichtig für den Autostart:heulen:........ das ist völlig unnützlich und verlangsamt denn rechner nur unnötig das selbe für nLite ist ja nix systemabhängiges oder so das kann man starten wenn man es braucht:daumenhoc |
Jetzt weiß ich, warum die bei Dell soviel zu tun haben:rolleyes: Zitat:
|
so, um wieder mal zum thema zurück zu kommen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:54:06, on 01.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CB9EC55F-A6B3-496A-AB08-D7A14CA6F111}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe -- End of file - 4667 bytes sieht das ok aus?? |
ich wollte heut mein drucker installiern und da hat was net geklappt und dann hab ich den bei systemsteurung --> software deinstalliert, aber der drucker wird trotzdem noch angezeigt (bei der druckereinrichtung und bei software). genauo wie die icq-toolbar, die hab ich auch wieder deinstalliert, aber im firefox kann ich die immer noch anzeigen lassen. wie bekomme ich den mist den wieder ganz weg? außerdem ist mein pc langsamer als vorher, weiß net genau seit wann, so ca. ner stunde, wo ich so sachen wie acrobade reader, den drucker und so installiert hab. und immer wenn icq startet, kommt da irgendwas mit laufzeitfehler, aber das kam glaube bis jetzt immer, wenn ich windows neu drauf gemacht habe. |
hat sich eigentlich alles von selbst erledigt. drucker wurde nicht richtig vom pc entfernt, da noch ein druckauftrag im gange war (obwohl der drucker ja nicht drucken konnte, da es ein netzwerkdrucker ist und ich die einstellungen nicht vorgenommen hatte :rolleyes:) und somit hat sich auch dann das problem mit dem langsamen pc erledigt, er ist nämlich wieder so schnell wie vorher auch und das mit der icq toolbar hat sich auch erledigt, da ich die nochma seperat im firefox bei den add-ons löschen musste. auf so sachen muss man ja auch erstma kommen. und ich will mich hier auch nochmal offiziell bei allen bedanken, die mir in den letzten tagen geholfen haben. Danke :aplaus: (wenn ich wieder probleme habe, melde ich mich im forum --> vielleicht ja schon morgen:)) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board