|
Probleme mit MSN - Virus Hallo Liebe Leute, Bin neu hier... und habe nen Problem, was nicht so schlimm ist, nur nervig ist. Bissher habe ich jeden Virus ohne Fremde hilfe gelöscht bekommen, nur der hier zersträubt mir meine nerven. Folgendes: Meine Freundin hat damals einen Link zugeschickt bekommen, wo sie über MSN drauf geklickt hat. Dort öffnete sich eine HTML seite, mit einem Webcam fenster. Sie hat das sofort wieder geschlossen, aber ab dann kam das eigentl. Problem. Nun verschicke ich, oder meine Freundin (Kommt drauf an, wer gerade on ist) über meine Adresse folgende Links: "haha http://msnvideo.ohost.de/?play=(DIE MAIL ADRESSE WOHIN ER DAS SCHICKT)" Und das 1000x... einige haben mich schon blockiert und mich am tel. gefragt was ich für einen mist versende. So ein Link war das auch, wo meine Freundin drauf geklickt hat. Meine bissherigen Versuche: Als erstes habe ich AntiVir drüberlaufen lassen, dieser hat mir 6 Viren/Trojaner angezeigt, die er auch gelöscht hat. Danach restart. Das Problem war aber immer noch da. Danach habe ich mir "Clean Virus MSN" heruntergeladen und drüberlaufen lassen, hat einen Virus entdeckt, den auch beseitigt. Dennoch kein Erfolg. Ein Freund von mir, schickte mir dann: "Spybot - Search & Destroy" Hab es installiert, geupdatet und gescannt: 41 Probleme behoben. Problem ist aber immer noch da. Danach habe ich Ad-Aware drüberlaufen lassen, war nur ein Problem, auch behoben (Zwischen drin immer ein restart gehabt!!!) Als AdAware fertig war, und der restart erfolgte kam dennoch das Problem. HiJackThis gescannt, und sachen rausgelöscht. Dennoch kommt das problem. Kann mir wer helfen?! Hatte jemand auch sowas schon? In Google finde ich auch rein garnichts (Denke es hat am Doppelposting gelegen) --- Hilft eine Systemwiederherstellung? |
Frage: Hast Du die PNs tatsächlich gelesen? Betriebssystem->fehlt Pfadangaben-> fehlen und wieder im falschen Unterforum gepostet Vervollständige bitte den Beitrag, dann verschieb ich den Thread ins richtige Unterforum :) Edit: Rechts oben nachsehen unter Private Nachrichten :) |
Halte Mich Aus Diesen Thema Heraus :heilig: Entschuldigung Nochmal :party: Edit: Du brauchst Dich nicht raushalten, sondern solltest mit dem Support bitte solange warten, bis der TO es endlich schafft die NUBs einzuhalten :) |
Also editieren kann ich ja nicht mehr.... Mein Betriebsystem ist Windows XP SP 3. Und welche Pfadangaben?! Ich weiß ja nichtmals wo er sich befindet, wenn ich das wüsste wäre ich ja schon ein schritt weiter. Er verschickt nur im MSN Chat die Links... welche genauen Pfadangaben meint ihr? Und fehlermeldungen kommen ja auch nicht. Nur diese Links Zu den PMs, sry habe ich nicht gesehen... erst als du mich darauf aufmerksam gemacht hast, denke du kannst es verschieben, habs nur hierein geschrieben, weil MSN zu Windows gehört.... |
Hallo, erstell bitte ein HijackThis Logfile und stelle es hier rein. Nebenbei arbeite noch das Tool ab: MSNFix (by !aur3n7)
|
Alles klar ich hab erst den MSNFix drüber laufen lassen, restart: LOG DATEI: Ich wusste nicht welche Datei, also habe ich beide geöffnet und hier veröffentlicht: Temp Datei: [C:\WINXP\system32\winchat.exe] CB080D824A3FD66C3C50C02A2DD79F13 [C:\WINXP\system32\winfxdocobj.exe] A251B726EED494F2FD9E5C6B1205BDB0 [C:\WINXP\system32\winhlp32.exe] DEC934E494851A6BB4D7772E758D6212 [C:\WINXP\system32\winlogon.exe] F09A527B422E25C478E38CAA0E44417A [C:\WINXP\system32\winmine.exe] F1BC7CB0292D60E69E958019EF0E7E58 [C:\WINXP\system32\winmsd.exe] D5986C06F8F99F051BB41557943C9AED [C:\WINXP\system32\winspool.exe] 0B4B94B78123E8035B84105BC024F9F8 [C:\WINXP\system32\winver.exe] 09345D5037F0B3C0046ABFB47D75B396 MD5: winchat.exe winfxdocobj.exe winhlp32.exe winlogon.exe winmine.exe winmsd.exe winspool.exe winver.exe HiJackThis!: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:45:25, on 21.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\wuauclt.exe C:\WINXP\system32\RUNDLL32.EXE C:\WINXP\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Winamp\winampa.exe C:\WINXP\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\system32\wuauclt.exe C:\WINXP\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Windows Service] service.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://80.237.209.20/objects/NpFv415.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe -- End of file - 9146 bytes Ich hoffe ihr könnt daraus iwas herausfinden... danke für die Hilfe :) |
Sieht schlecht aus: Zitat:
Ich würde eine Neuinstallation in Betracht ziehen, an deiner Stelle.. |
naja die service.exe habe ich aber immer schon gehabt. Kann ich einen wiederherstellungspunkt benutzen? Habe damals als ich neu installiert habe, den direkt gesetzt, ne woche später kam der fehler erst. Habe gelesen das die service.exe nicht schlimm ist, solange sie unter system32 aktiv ist, nur sobald sie in einem Unterordner wie drivers ist, sollte man neuinstallieren. Das habe ich aber gerade gecheckt, oder was hat sich mit der service.exe aufssich? |
Ja, die services.exe im %SysDir%-Ordner ist auch legitim. Aber das ist eine service.exe im %WinDir%-Ordner. Und das ist der "MSN-Virus" wie du so schön sagst. Schau doch mal, ob du im WINDOWS-Ordner eine admintxt.txt findest. Btw. die Systemwiederherstellung kannst du vergessen, das bringt nichts. |
Also, ich habe manuell gesucht und über die suche.... eine admintxt.txt finde ich/er nirgendswo... Heißt das was? |
Normalerweise wird die admintxt.txt automatisch vom Bot erstellt und enthält gespeicherte Informationen über deinen Rechner, Passwörter etc. Mach bitte mal das: MD5 Überprüfung:
|
Ok, habe ich gemacht.... LOG: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:07:36, on 22.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\WINXP\system32\nvsvc32.exe C:\WINXP\system32\PnkBstrA.exe C:\WINXP\system32\svchost.exe C:\WINXP\system32\RUNDLL32.EXE C:\WINXP\RTHDCPL.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Winamp\winampa.exe C:\WINXP\system32\ctfmon.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINXP\system32\wscntfy.exe C:\WINXP\system32\wuauclt.exe C:\WINXP\System32\svchost.exe C:\PROGRA~1\MICROS~2\rapimgr.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (filesize 1266992 bytes, MD5 945FEFD0146F5870765F4FF8477BBD3D) O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Programme\Windows Live\Messenger\wlchtc.dll (filesize 75272 bytes, MD5 6BA2CD421D1FE739C461706EFBD25754) O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL (filesize 2210608 bytes, MD5 786DD1892B553EFE5A004AC39775C851) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (filesize 401968 bytes, MD5 E393F5B7D090DF8370452916FFE92F9A) O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll (filesize 863688 bytes, MD5 FED6ACFA88DB3A32A5F6DE99FB634EBB) O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (filesize 958712 bytes, MD5 96F76412720D0E9AD005CBD6201F688D) O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (filesize 1266992 bytes, MD5 945FEFD0146F5870765F4FF8477BBD3D) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup (filesize 33792 bytes, MD5 F6B34CD47CAF6D68106B9F8055F35C50) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (filesize 1630208 bytes, MD5 D76B1D340C6C8F5A676DC717919B319A) O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit (filesize 33792 bytes, MD5 F6B34CD47CAF6D68106B9F8055F35C50) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE (filesize 16132608 bytes, MD5 FD38AEEB62D48A88786309063E9DF7BB) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE (filesize 69632 bytes, MD5 8B4CBBA1EA526830C7F97E7822E2493A) O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min (filesize 266497 bytes, MD5 6E812818306D460D62B4ABEA9FDC6679) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" (filesize 144784 bytes, MD5 6AB4C021FBD36DC6764924C312428D97) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" (filesize 34672 bytes, MD5 69B16C7B7746BA5C642FC05B3561FC73) O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" (filesize 31016 bytes, MD5 38D198A2DD54A67120040566A38103BA) O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exeC:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Windows Service] service.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exeC:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun (filesize 490952 bytes, MD5 79CC43BE17E1D1AC58844574ABD58941) O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background (filesize 3513344 bytes, MD5 69DCF2620252E1E2281B4E96F7081838) O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A) O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exeC:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" (filesize 1289000 bytes, MD5 1C2863FE366B9E907AABFC6F8B6EE1A3) O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html (filesize 748 bytes, MD5 8A9B76C57C473678D8F30B6C7D4872C2) O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (filesize 509328 bytes, MD5 F921D875A1CBD69A6A462BA2514BC831) O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (filesize 155152 bytes, MD5 5D897435076541B3697289872D2D9916) O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (filesize 155152 bytes, MD5 5D897435076541B3697289872D2D9916) O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll (filesize 604000 bytes, MD5 80C412B3E7304FE87C9CDB1836F0160A) O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll (filesize 604000 bytes, MD5 80C412B3E7304FE87C9CDB1836F0160A) O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll (filesize 158504 bytes, MD5 5707C8268FDAC1BE457884AE0AFEB109) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll (filesize 1499136 bytes, MD5 5F62AE472DDEC02CB3C635FAD6F3A632) O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINXP\system32\shdocvw.dll (filesize 1499136 bytes, MD5 5F62AE472DDEC02CB3C635FAD6F3A632) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe (filesize 558080 bytes, MD5 AAC1D4EE39DF138C5D30AC5883E3B59F) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (filesize 173304 bytes, MD5 42E5210D48BAA0FE609CB96058D30D7A) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (filesize 1695232 bytes, MD5 E2AA953ED6A296B6BF399A783B32CCDE) O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://80.237.209.20/objects/NpFv415.dll O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL (filesize 222512 bytes, MD5 BD25E3537B54C1BFF40335992B3686FD) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exeC:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exeC:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exeC:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeC:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exeC:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exeC:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exeC:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exeC:\WINXP\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exeC:\WINXP\system32\PnkBstrA.exe -- End of file - 12337 bytes |
Anscheinend hast du die service.exe gelöscht. Wenn du nicht formatieren willst, können wir eine Bereinigung versuchen, dadurch wird das System aber nicht 100% vertrauenswürdig. Auf jedenfall solltest du all deine Passwörter und Zugangsdaten von einem sauberen System aus ändern. Onlinebanking würde ich an dem Rechner nicht mehr betreiben. mfg |
nein habe die service.exe nicht gelöscht, sondern über die msconfig nach dem mist erstmal deaktiviert.... Naja dann sollte ich wohl lieber formatieren... weil online banking wichtig ist für mich, woher kommt so ein virus? über diese links? |
Ja, er verbreitet sich über diese Links. Wenn man einen Link anklickt, wird man entweder durch die Datei infiziert, die man downloaden soll oder durch das Java Plugin, das ausgeführt wird. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board