TR/Fakealert.AAF ---? Hilfe! hallo leute ich habe ein großes problem: ich hab ( genau wie hitman21 vor einiger zeit) den Trojaner TR/Fakealert.AAF auf meinen laptop. In der mitte meines desktops prangt ein riesiges schild :windows warning message, welches ich nich schließen kann, da das x nicht bedienbar ist. habe mir daher den artikel von Hitman21 und seinem problem durchgelesn, verstheh aber nur die hälfte. auf jeden fall hab ich mir dieses "super anti spyware" geholt und einmal alles checken lassen. Es wurde festgestellt, dass ich 150 komische dinge auf dem rechner hatte. Der rechner wurde von dem pogramm neu gestartet, doch das problem besteht immer noch!! ich brauche dringend den rat von euch , was ich jetz tuen soll! vielen Dank im voraus................ |
Hi, damit wir dir helfen können bruachen wir den Bericht von Superantispyware und ein paar Angaben zu deinem Betriebsystem. Kannst du bitte den Beitrag von Hitman verlinken, den du abgearbetiet hast? Poste bitte auch ein Log von Hijackthis in deiner Antwort. lg myrtille |
http://www.trojaner-board.de/58526-joke-bluescrreen-b-tr-fakealert-aaf-vbs-agent-1002-a.html Das ist der link von hitmans problem. hier die daten von meinem laptop: Microsoft Windows XP Professional Version2002 Servicepack2 Mobile intel(R) pentium (R) 4-M Cpu 1.80 GHz 1.18 GHz 512 mb ram hab kp was das alles bedeutet, hoffe aber du kannst was damit anfangen |
Hi, immerhin weiß ich jetzt, dass ich es mit einem Windowsbetriebssystem zu tun habe. ;) Das heißt wir können die entsprechenden Programme nutzen. ;) Hast du das Log von SuperAntiSpyware noch? lg myrtille |
was fürn log ? ich lasse das grade durchlaufen, und es hat bis jetz noch nichts gefunden (das ist besser als vorher) das problem auf dem desktop besteht allerdings noch immer :( ich weiß nicht, ob du es merkst, aber ich bin halt ziemlich unerfahren =) hoffe du kannst mir helfen.......... lg lemmi |
Hi, solange du bei unklarheiten einfach fragst, ist alles super :) ich würde gerne wissen was sasw vorhin bei dir gelöscht hat, damit ich weiß was auf deinem Rechner drauf war. Dafür brauch ich den bericht von deinem ersten scan mit SuperAntispyware. Wie du das Log findest, kannst du in der Superantispyware anleitung finden. lg myrtille |
also ich habs gefunden * stolz * :) allerdings kann ich die mir nur angucken (also die sachen die quarantäne waren) Wie soll ich dir die denn schicken ??? *verzweifel* |
ich glabe du meinst das , kann das ? SUPERAntiSpyware Scan Log SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware! Generated 09/29/2008 at 03:30 PM Application Version : 4.21.1004 Core Rules Database Version : 3581 Trace Rules Database Version: 1569 Scan type : Complete Scan Total Scan Time : 00:13:52 Memory items scanned : 430 Memory threats detected : 1 Registry items scanned : 3580 Registry threats detected : 1 File items scanned : 3625 File threats detected : 148 NotHarmful.Sysinternals Bluescreen Screen Saver C:\WINDOWS\SYSTEM32\BLPHCCK7J0EJBA.SCR C:\WINDOWS\SYSTEM32\BLPHCCK7J0EJBA.SCR Trojan.Dropper/Gen [cqqgkmc] C:\DOKUMENTE UND EINSTELLUNGEN\ERIC\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\CQQGKMC.EXE C:\DOKUMENTE UND EINSTELLUNGEN\ERIC\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\CQQGKMC.EXE Adware.Tracking Cookie C:\Dokumente und Einstellungen\Eric\Cookies\eric@atdmt[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@zedo[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1058544958[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@2o7[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@68010502[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@phpmv2[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.pando[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.zanox[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071797600[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserve.city-ad[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1058566955[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.easyad[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@messengerdeutchlandbis.solution.weborama[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.71i[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@xiti[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ehg-deltatre.hitbox[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1040106145[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@c5.zedo[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1057889030[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@900089555233333[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.joylandcasino[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@toplist[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@gina-lisa-sex[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@4stats[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@stepstone.112.2o7[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@zanox[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@tradedoubler[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.salebroker[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.pornorama[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adtech[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@click.cybertvpartner[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@komtrack[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@300002139009955[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@statcounter[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adopt.specificclick[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@clicksense[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@banner.cdpoker[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.etracker[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1050813249[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.trackbar[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@realmedia[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.netdebit-counter[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@azjmp[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.nordprovider[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.zanox-affiliate[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1067995146[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@euros4click[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver.myvideo[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071451998[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.counter-gratis[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@apmebf[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.adbrite[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@tribalfusion[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@tracking.quisma[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@serving-sys[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@eas.apm.emediate[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@advertising[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@burstnet[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@www.web-mediaplayer[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@metacafe.122.2o7[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@traffictrack[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.heias[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.us.e-planning[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@fastclick[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@webtrackr[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@pornorama[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver3.bannerwerbung[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@mediaplex[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@data.coremetrics[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@count.xhit[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adbrite[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.quartermedia[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@zanox-affiliate[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@count.spring[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@web-mediaplayer[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.71i[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ads.adap[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1069902127[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@statse.webtrendslive[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad2.doublepimp[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.bauerverlag[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@estat[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@hitbox[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@questionmarket[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@revsci[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@690190909878901[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@media.adrevolver[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@sport1-de[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@doubleclick[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@cgi-bin[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@tracking.3gnet[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@toplist[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@webmasterplan[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@atwola[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1045591380[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@windowsmedia[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@casalemedia[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.myp2p[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad1.clickhype[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@pcwelt[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@dmtracker[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@im.banner.t-online[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@mbb[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adserver[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adopt.euroclick[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1055156810[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@tacoda[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad1.elcuban[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@kontera[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@sport1[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@server.iad.liveperson[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1071763083[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@a6.adserver01[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@achtung-sexy[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@yadro[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@stats.bmw[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@richmedia.yahoo[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@indextools[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@overture[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@adrevolver[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@ad.adnet[2].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@weborama[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@1067869251[1].txt C:\Dokumente und Einstellungen\Eric\Cookies\eric@accounts[2].txt Trojan.Media-Codec C:\Programme\PCHealthCenter\0.gif C:\Programme\PCHealthCenter\1.gif C:\Programme\PCHealthCenter\1.ico C:\Programme\PCHealthCenter\2.gif C:\Programme\PCHealthCenter\2.ico C:\Programme\PCHealthCenter\3.gif C:\Programme\PCHealthCenter\sc.html C:\Programme\PCHealthCenter Rogue.AntiVirus XP 2008 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk Rogue.AntiVirus 2008 C:\Programme\RHC9K7J0EJBA |
hoffe, dass das richtig ist! Das ist der lappi von meinem großen bro :) ich muss das problem bis in 5 tagen behoben habn, denkst du das geht ? weil dann kommt der wieder |
das obere war also das log von SUPER anti spy ware... jetz kommt das von Hijackthis............... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:08, on 29.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\ICQ6\ICQ.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = IESearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\ADVPro.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [lphcck7j0ejba] C:\WINDOWS\system32\lphcck7j0ejba.exe O4 - HKLM\..\Run: [SMrhc9k7j0ejba] C:\Programme\rhc9k7j0ejba\rhc9k7j0ejba.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7995F657-BEE6-43C8-BB37-8D33E00F9AE2}: NameServer = 195.50.140.178 195.50.140.114 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe -- End of file - 7071 bytes |
Hi, na wer hat denn da nicht gut auf den Rechners seines Bruders aufgepasst!? :eek: ;) Der SASW Bericht gibt auf jedenfall schon mal gute Hinweise. Das allermeiste waren Cookies, die unbedenklich sind. Ja, das sollte gehen, wenn nichs unerwartetes dazwischen kommt: Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.) Poste alle Logs in deiner nächsten Antwort. :) lg myrtille |
also, hier kommt das textdokument fixnavi.txt Search Navipromo version 3.6.5 began on 29.09.2008 at 17:14:26,26 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Eric" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Eric\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Eric\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" : cqqgkmc.dat found ! cqqgkmc_nav.dat found ! cqqgkmc_navps.dat found ! * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! Montorgueil certificate not found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 29.09.2008 at 17:30:26,74 *** die anderen beiden schick ich dir jetz als link |
File-Upload.net - RSIT.exe das ist der link da müsstest du sie finden eine frage hab ich allerdings schon , was willst du denn jetz mit all den infos machen? alle einzeln auswerten? |
Hi,
Du hast die Datei RSIT.exe hochgeladen. Ich bräuchte jedoch die Datein log.txt und ino.txt (Du findest sie im Ordner C:\rsit, wenn du sie nicht mehr offen hast) lg myrtille |
also: hier kommt info info.txt logfile of random's system information tool 1.02 2008-09-29 17:38:44 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001} AntivirXP08-->"C:\Programme\rhc9k7j0ejba\uninstall.exe" ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean AVIConverter 5.1.6-->C:\Programme\TrekStor\i.Beat move\AVI-Converter\uninst.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Dell ResourceCD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D78653C3-A8FF-415F-92E6-D774E634FF2D}\setup.exe" Favorit-->"c:\dokumente und einstellungen\eric\lokale einstellungen\anwendungsdaten\cqqgkmc.exe" -uninstall Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe" Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29} Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll" Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Mathe Klasse 8-10-->MsiExec.exe /I{3D24A762-F5A2-41C1-9F0A-300B4D8D5A2B} MC-Load Preinstaller-->C:\\Dokumente und Einstellungen\\Eric\\Anwendungsdaten\\McLoad\\Uninstall-Mcload.exe Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Navilog1 3.6.5-->"C:\Programme\Navilog1\unins000.exe" Need for Speed Underground 2-->C:\Programme\EA GAMES\Need for Speed Underground 2\EAUninstall.exe OpenOffice.org 2.3-->MsiExec.exe /I{A625D45F-1DC4-47FB-ABCF-6B27684AA717} Pando Toolbar-->rundll32 C:\PROGRA~1\PandoBar\bar\1.bin\PandoBar.dll,O PCTEL 2304WT V.92 MDC Modem Drivers-->ptuninst.exe Photo Loader 3.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70B45586-B51E-4947-A258-A895596C5CED}\Setup.exe" -uninst Photohands 1.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{544FB392-069D-4BA5-9DC7-FFD47230AEE5}\Setup.exe" Popsicle-->"C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\unins000.exe" SC Audio DJ Mixer 2.2.0.0-->"C:\Programme\SoftwareClub.ws\SC Audio DJ Mixer\unins000.exe" Sumo_torrent Toolbar-->C:\PROGRA~1\SUMO_T~1\UNWISE.EXE C:\PROGRA~1\SUMO_T~1\INSTALL.LOG SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} SYBEX Profi-Bewerbungen-->C:\PROGRA~1\Sybex\PROFI-~1\UNWISE.EXE C:\PROGRA~1\Sybex\PROFI-~1\INSTALL.LOG Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe WinRAR-->C:\Programme\WinRAR\uninstall.exe Zattoo 3.2.4 Beta-->C:\Programme\Zattoo\uninst.exe ======Security center information====== AV: Avira AntiVir PersonalEdition ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Sybex\Profi-Bewerbungen "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0207 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- und jetzt log info.txt logfile of random's system information tool 1.02 2008-09-29 17:38:44 ======Uninstall list====== -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 6.0.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A00000000001} AntivirXP08-->"C:\Programme\rhc9k7j0ejba\uninstall.exe" ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean AVIConverter 5.1.6-->C:\Programme\TrekStor\i.Beat move\AVI-Converter\uninst.exe Avira AntiVir Personal - Free Antivirus-->C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Dell ResourceCD-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D78653C3-A8FF-415F-92E6-D774E634FF2D}\setup.exe" Favorit-->"c:\dokumente und einstellungen\eric\lokale einstellungen\anwendungsdaten\cqqgkmc.exe" -uninstall Free YouTube Download 2.2-->"C:\Programme\DVDVideoSoft\Free YouTube Download\unins000.exe" Free YouTube to Mp3 Converter version 3.1-->"C:\Programme\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3} Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29} Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll" Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall HijackThis 2.0.2-->"C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall Hotfix for Windows XP (KB926239)-->"C:\WINDOWS\$NtUninstallKB926239$\spuninst\spuninst.exe" ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe ICQ6-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} Mathe Klasse 8-10-->MsiExec.exe /I{3D24A762-F5A2-41C1-9F0A-300B4D8D5A2B} MC-Load Preinstaller-->C:\\Dokumente und Einstellungen\\Eric\\Anwendungsdaten\\McLoad\\Uninstall-Mcload.exe Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Mozilla Firefox (3.0.1)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe Navilog1 3.6.5-->"C:\Programme\Navilog1\unins000.exe" Need for Speed Underground 2-->C:\Programme\EA GAMES\Need for Speed Underground 2\EAUninstall.exe OpenOffice.org 2.3-->MsiExec.exe /I{A625D45F-1DC4-47FB-ABCF-6B27684AA717} Pando Toolbar-->rundll32 C:\PROGRA~1\PandoBar\bar\1.bin\PandoBar.dll,O PCTEL 2304WT V.92 MDC Modem Drivers-->ptuninst.exe Photo Loader 3.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{70B45586-B51E-4947-A258-A895596C5CED}\Setup.exe" -uninst Photohands 1.0G-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{544FB392-069D-4BA5-9DC7-FFD47230AEE5}\Setup.exe" Popsicle-->"C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\unins000.exe" SC Audio DJ Mixer 2.2.0.0-->"C:\Programme\SoftwareClub.ws\SC Audio DJ Mixer\unins000.exe" Sumo_torrent Toolbar-->C:\PROGRA~1\SUMO_T~1\UNWISE.EXE C:\PROGRA~1\SUMO_T~1\INSTALL.LOG SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} SYBEX Profi-Bewerbungen-->C:\PROGRA~1\Sybex\PROFI-~1\UNWISE.EXE C:\PROGRA~1\Sybex\PROFI-~1\INSTALL.LOG Uninstall 1.0.0.1-->"C:\Programme\Gemeinsame Dateien\DVDVideoSoft\unins000.exe" Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe WinRAR-->C:\Programme\WinRAR\uninstall.exe Zattoo 3.2.4 Beta-->C:\Programme\Zattoo\uninst.exe ======Security center information====== AV: Avira AntiVir PersonalEdition ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\Sybex\Profi-Bewerbungen "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0207 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO -----------------EOF----------------- |
sry aber log.txt kann ich nur als link schicken.... das daurt bei mir mom also |
hier kommt der link von log.txt. das info ist schon da, weils klein genug war File-Upload.net - log.txt |
Die beiden Logs sehen schon ganz gut aus.
Hast du die Option 2 von Navilog durchlaufen lassen? lg myrtille |
hier kommt das scan ergebnis cleannavi Navipromo Removal version 3.6.5 started on 29.09.2008 at 18:44:30,22 Fix running from C:\Programme\navilog1 Actual User Account : "Eric" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 6.0.2900.2180 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Eric\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Eric\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Eric\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Eric\lokale~1\anwend~1" * cqqgkmc.dat found ! Copy cqqgkmc.dat done ! cqqgkmc.dat deleted ! cqqgkmc_nav.dat found ! Copy cqqgkmc_nav.dat done ! cqqgkmc_nav.dat deleted ! cqqgkmc_navps.dat found ! Copy cqqgkmc_navps.dat done ! cqqgkmc_navps.dat deleted ! * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate deleted ! Electronic-Group Certificate deleted ! Montorgueil Certificate not found ! OOO-Favorit Certificate deleted ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 29.09.2008 at 18:53:02,74 *** |
das hier ist das neue log von hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:04:04, on 29.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\notepad.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\PROGRA~1\ICQ6\ICQ.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\OpenOffice.org 2.3\program\soffice.exe C:\Programme\OpenOffice.org 2.3\program\soffice.BIN C:\Programme\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = IESearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll R3 - URLSearchHook: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll R3 - URLSearchHook: (no name) - {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL O2 - BHO: Pando Search Assistant BHO - {06663B51-0D73-4f9f-BCC5-4AA941470AFD} - C:\Programme\PandoBar\SrchAstt\1.bin\P4SRCHAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Popsicle - {A67B8FE1-8E6D-44D6-8D74-9C28E7BFF35C} - C:\Dokumente und Einstellungen\All Users\Dokumente\Popsicle\ADVPro.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.1852\swg.dll O2 - BHO: Pando Toolbar BHO - {E3EA4FD1-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Sumo torrent Toolbar - {35a52c64-8cc6-46c7-a38b-7653c5743163} - C:\Programme\Sumo_torrent\tbSumo.dll O3 - Toolbar: Pando Toolbar - {E3EA4FD9-CADE-4ae5-84F7-086EEE888BE4} - C:\Programme\PandoBar\bar\1.bin\PANDOBAR.DLL O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{7995F657-BEE6-43C8-BB37-8D33E00F9AE2}: NameServer = 195.50.140.178 195.50.140.114 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe -- End of file - 6797 bytes |
Hi, das sieht gut aus. :) Hast du noch Probleme mit dem Rechner? Ansonsten könnte man anfangen die genutzten Programme wieder zu deinstallieren: Hijackthis, SuperAntiSpyware und Navilog über Start->systemsteuerung->software deinstallieren. RSIT kannst du einfach so löschen. (Sowie den Ordner C:\rsit) Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst. Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht. lg myrtille |
ich kann halt unter eigenschaften das hintergrundbild nicht ändern , also wie vorher. was hast du denn gefunden? |
Hi, dann lass bitte mal noch Malwarebytes über deinen Rechner laufen und poste das Log hier. lg myrtille |
wie jetz malwarebites? als ich avira durchlaufen ließ hat der nur noch einen virus angezeigt und der hieß anders nämlich TR/Dldr.Small.adwv' is das vllt. der wahre grund für meinen vermurksten desktop? ich hab den deleted und das prob is noch immer da |
Hi, das Problem mit dem Desktophintergrund stammt von Fakealert, das ist eine Einstellung, die man unter Windows vornehmen kann, wenn man nicht will, dass der Desktophintergrund von jedem verändert werden kann. Ich weiß dass das Programm Malwarebytes diesen Eintrag entfernt, daher denke ich, dass du dein Problem damit lösen können solltest. Wo hat Antivir den Befall denn gemeldet? (Welche Datei) lg myrtille |
Die Datei 'C:\System Volume Information\_restore{55243C3A-DBAE-43BF-944B-4F8057F37D00}\RP35\A0009096.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Small.adwv' [trojan]. unter der datei war das soll ich malwarebytes jetz durchlaufn lassen ??? |
Hi, ja bitte. Um den Ordner System Volume Information kümmenr wir uns noch. ;) Den hätte ich dir eh noch bereinigt ;) EDIT: Das ist eine Art Backup das Windows von sich selbst anlegt. Was da einmal reinkommt, kann nur von Windows selbst wieder herausgeholt werden. Das heißt der Befall ist zwar noch auf deinem Rechner, kann sich aber nicht mehr ausführen und ist daher ungefährlich lg myrtille |
als welche funktion den ? vollständiger suchlauf ? |
Nein, der schnelle Scan sollte reichen, dauert etwa 5 Minuten. lg myrtille |
ok was soll ich machn dir den bericht schickn ?? |
Ja bitte. lg myrtille |
Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1134 Windows 5.1.2600 Service Pack 2 30.09.2008 00:13:16 mbam-log-2008-09-30 (00-13-09).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 38831 Laufzeit: 5 minute(s), 4 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc9k7j0ejba (Rogue.Multiple) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\rhc9k7j0ejba (Rogue.Multiple) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Eric\Lokale Einstellungen\Temp\Rar$EX00.708\Setup.exe (Adware.Agent) -> No action taken. C:\Dokumente und Einstellungen\Eric\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken. C:\WINDOWS\system32\blphcck7j0ejba.scr (Trojan.FakeAlert) -> No action taken. |
Hi, lass malwarebytes die funde löschen danach solltest du den hintergrund verstellen können. lg myrtille |
du hast es geschafft!!! vielen vielen vielen ...............lieben Dank!!! kann ich die ganzen pogramme löschen oder sind die noch nützlich ??? wenn ja wie ??? thx |
Hi, Hijackthis, SuperAntiSpyware, Malwarebytes und Navilog kannst du über Start->systemsteuerung->software deinstallieren. RSIT kannst du einfach so löschen. (Sowie den Ordner C:\rsit) Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst. Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht. Ich würde Mawalrebytes und/oder Superantispyware als Scanner behalten und den Rest löschen. lg myrtille |
habe ein neues problem als ich "Systemwiederherstellung auf allen Laufwerken deaktivieren wollte hab ich unten nach dem haken setzen auf ok gedrückt das kan man yetz nich direkt ändern wie krieg ich das wieder hin ? |
Ich versteh die Frage nicht? Du hast die Systemwiederherstellung deaktiviert? Kannst sie aber nicht wieder aktivieren? lg myrtille |
ich hab den haken gesetzt und dann unten auf ok gedrückt kam die frage sind sie siche ich auf ja wie soll ich das yetz wieder so machn wie vorher, also so wies sein soll ? wenn ich auf systemsteuerung> system gehe kann man das nich mehr ändern weils da nich mehr steht |
danke ist ok ich habs gefunden man musste system nur neu öffnen *schäm* nya Danke für alles du bist die beste =) |
Na schön zu hören, dass das alles noch geklappt hat. :D Ich kann nämlich nicht mehr gerade aus denken. :blabla: Ich werd daher jetzt auch verschwinden, alle weiteren Fragen werden dann irgendwann morgen beantwortet. ;) lg myrtille |
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:54 Uhr. |
Copyright ©2000-2024, Trojaner-Board