|
Home Search Assistent, Shopping Wizard, Search Extender, Hallo zusammen, wie bekomme ich diesen Scheiß von meiner Platte runter. Welche Dateien muß ich löschen. ich hab schon ein ganzen haufen Zeugs probiert und hab viele sachen gelöscht die nix auf der Platte verlohren haben aber an demf Zeugs beiß ich mir gerade die Zähne aus wer kann mir helfen???? Vielen Dank im Voraus Rapesco :heulen: |
Poste bitte einmal ein HijackThis-Log. http://filepony.de/download-hijackthis/ |
Logfile of HijackThis v1.98.0 Scan saved at 15:46:52, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\appuv32.exe C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Panda Software\Panda Antivirus Titanium\apvxdwin.exe C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\systl.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\DOKUME~1\BÄR\DESKTOP\FIREFO~1.8-D\FIREFOX\FIREFOX.EXE C:\Dokumente und Einstellungen\BÄR\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\xvvae.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\xvvae.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\xvvae.dll/index.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xvvae.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E562404-C395-FEAE-9587-21D1288BA8BF} - C:\WINDOWS\system32\ievj32.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [systl.exe] C:\WINDOWS\systl.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Gruß rapesco |
Ok, so wie es ausschaut ist da was drin. Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 Danach poste ein neues Log mit der aktuellen Version 1.98.2 |
So hab lange gekämpft eine neue version von hijack konnte ich nicht runterladen hier das neue log mit der alten halt. Danke Rapesco Logfile of HijackThis v1.98.0 Scan saved at 17:41:09, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\appuv32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\systl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe C:\DOKUME~1\BÄR\DESKTOP\FIREFO~1.8-D\FIREFOX\FIREFOX.EXE C:\Dokumente und Einstellungen\BÄR\Desktop\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E562404-C395-FEAE-9587-21D1288BA8BF} - C:\WINDOWS\system32\ievj32.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [systl.exe] C:\WINDOWS\systl.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
Diese Dateien mal an partytime-germany.ice@web.de und an virus@av.klaffke.info schicken: C:\WINDOWS\system32\appuv32.exe C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\systl.exe C:\WINDOWS\system32\ievj32.dll Dann gehst du in den abgesicherten Modus: Dies fixen: R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {7E562404-C395-FEAE-9587-21D1288BA8BF} - C:\WINDOWS\system32\ievj32.dll O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Die Dateien C:\WINDOWS\system32\ievj32.dll und C:\WINDOWS\msopt.dll löschen danach löschen! |
Hi Christian, ich komm nicht so recht weiter, es legt mit immer wieder die R3 nach kurzer Zeit neu an dazu kommt nach kurzer Zeit wieder eine O2 - BHO: (no name) dazu deren namen sich immer ändert, das heißt wenn ich diese Datei lösche ist nach kurzer zeit wieder eine neu da. Die 3 überltäter Programme sind unter systemsteuerung/Software auch noch zu finden. ich stell noch mal ein aktuelles log rein (hab übrigens jetzt die neue Version). Viele Grüße und vielen Dank auch Rapesco Logfile of HijackThis v1.98.2 Scan saved at 18:23:58, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\appuv32.exe C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Titanium\apvxdwin.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\systl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\DOKUME~1\BÄR\DESKTOP\FIREFO~1.8-D\FIREFOX\FIREFOX.EXE C:\Dokumente und Einstellungen\BÄR\Desktop\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {47CE1F3F-0600-897D-64B2-31BB07D8F6FC} - C:\WINDOWS\system32\appnl32.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [systl.exe] C:\WINDOWS\systl.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe |
Dies ist gut möglich, da du wahrscheinlich noch einen TrojanDownloader auf deinen System hast. Da du diese Dateien C:\WINDOWS\system32\appuv32.exe C:\WINDOWS\system32\rvs_cent.exe C:\WINDOWS\systl.exe noch nicht hergeschickt hast, kann ich dir leider noch nicht weiterhelfen. |
Guten Morgen Zusammen Ich würde dir die Dateien gerne schicken ich finde aber nur C:\WINDOWS\system32\rvs_cent.exe Die Dateien C:\WINDOWS\system32\appuv32.exe C:\WINDOWS\systl.exe sind nicht an ihrem Platz. Gruß Rapesco |
Guten Abend ihr da vor den Rechnern. Panda Antivirus hat die beiden Dateien gefunden und desinfiziert es war ein Trojaner mit dem Namen Agent.X. Die nun letzte Datei schick ich dir mal rüber. Gruß und Danke Rapesco |
Datei dürfte clean sein. |
Hallo, ich habe das selbe problem auch, vielleicht kann mir ja jemand helfen.Ich verzweifle gleich... Logfile of HijackThis v1.98.2 Scan saved at 16:13:36, on 14.09.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe C:\WINNT\Explorer.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stella\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cdhel.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {B35DD7C5-B654-F8E9-588D-A95882AC38BD} - C:\WINNT\sdkdi32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [cryl.exe] C:\WINNT\system32\cryl.exe O4 - HKLM\..\Run: [mbeswzveebj] C:\WINNT\System32\jmdvcjj.exe O4 - HKLM\..\Run: [sdksa32.exe] C:\WINNT\sdksa32.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Dtep] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e72640af5cb44d O17 - HKLM\System\CCS\Services\Tcpip\..\{23EB1141-8D38-4161-A919-EB064DC231FB}: NameServer = 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{23EB1141-8D38-4161-A919-EB064DC231FB}: NameServer = 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{23EB1141-8D38-4161-A919-EB064DC231FB}: NameServer = 194.25.2.129 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file) O20 - AppInit_DLLs: PAVWAIT.DLL |
Zunächst: für Windows2000 gibt es inzwischen Service Pack 4, soweit ich informiert bin, man sollte das System und den IE immer auf dem aktuellen Stand halten. Auf dem Rechner ist eine Menge Mist drauf, check folgende Dateien mal online bei: http://virusscan.jotti.org/de cryl.exe jmdvcjj.exe sdksa32.exe PAVWAIT.DLL |
So, hab noch mal neu gescannt, kann mir jemand sagen was noch gefixt werden muss?? Logfile of HijackThis v1.98.2 Scan saved at 17:24:35, on 14.09.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe C:\WINNT\Explorer.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stella\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [cryl.exe] C:\WINNT\system32\cryl.exe O4 - HKLM\..\Run: [mbeswzveebj] C:\WINNT\System32\jmdvcjj.exe O4 - HKLM\..\Run: [sdksa32.exe] C:\WINNT\sdksa32.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Dtep] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e72640af5cb44d |
Hast du die Dateien getestet? Sind ganz sicher Schädlinge, aber es wäre wichtig, welche genau. |
Hallo, ich weiss garnicht was ich da checken muss, geschweige denn löschen, kannst du mir helfen?Zudem finde ich die dateien nicht |
Ok, probiere es mal hier: http://www.kaspersky.com/de/scanforvirus du gehst auf durchsuchen und klickst dich zu den Dateien durch, die Ordner sind ja im Log zu sehen: C:\WINNT\system32\cryl.exe C:\WINNT\System32\jmdvcjj.exe C:\WINNT\sdksa32.exe Zumidnets diese sollten noch da sein. Falls das partout nicht klappt, besorge dir E-Scan und verfahre so wie dort beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html |
die dinger sind einfach nicht zu finden.. Logfile of HijackThis v1.98.2 Scan saved at 17:48:46, on 14.09.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe C:\WINNT\Explorer.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Stella\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [cryl.exe] C:\WINNT\system32\cryl.exe O4 - HKLM\..\Run: [mbeswzveebj] C:\WINNT\System32\jmdvcjj.exe O4 - HKLM\..\Run: [sdksa32.exe] C:\WINNT\sdksa32.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Dtep] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e72640af5cb44d |
Logfile of HijackThis v1.98.2 Scan saved at 18:13:45, on 14.09.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavFnSvr.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PavProt.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv50.exe C:\WINNT\Explorer.exe C:\Programme\Kerio\Personal Firewall\persfw.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\prevsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\iPod\bin\iPodService.exe C:\WINNT\System32\mshta.exe C:\Dokumente und Einstellungen\Stella\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKCU\..\Run: [Dtep] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...e72640af5cb44d |
Kennst du diese Datei? C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n. Wenn nicht löschen. Fixe dies: O4 - HKCU\..\Run: [Dtep] C:\Dokumente und Einstellungen\Stella\Anwendungsdaten\lo?n.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...72 640af5cb44d www.windowsupdate.com besuchen und alle Updates und Patches installieren. |
Hallo, habe mich gerade angemeldet, weil ich nicht weiter weiß. Auf meinem Rechner sind folgende Programme installiert: - Home Search Assistent - Shopping Wizard - Search Extender Mit HijackThis habe ich meinen Rechner geprüft und folgendes Log erhalten: Logfile of HijackThis v1.98.2 Scan saved at 18:45:36, on 23.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\System32\ulqlbw.exe C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\oroe.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe C:\PROGRA~1\WINZIP8.1\winzip32.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80 R3 - Default URLSearchHook is missing O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [dmonpn] C:\WINDOWS\System32\ulqlbw.exe O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\oroe.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098548582678 O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll Wie muss ich weiter vorgehend, damit ich das Übel loswerde? Gruß Beate |
Auf die schnelle .... wuerde ich die Sachen beanstanden... Zitat:
|
@Beate mache bitte folgendes system und IE updaten dann wie hier beschrieben mit spybot http://www.trojaner-board.de/showthread.php?t=8673 dann wechsle danach in den abgesicherten modus und fixe (häkchen setzen und Fix Checked klicken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcezq.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcezq.dll/sp.html#29126 O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [dmonpn] C:\WINDOWS\System32\ulqlbw.exe O4 - HKLM\..\Run: [ABox] C:\WINDOWS\ABox.exe O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\oroe.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll lösche danach manuell C:\WINDOWS\msopt.dll C:\WINDOWS\System32\ulqlbw.exe C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\oroe.exe starte neu, mache einen scan mit HJT und poste es hier chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board