|
Pestpatrol und verschiedene Registry-Cleaner funktionieren nicht mehr Hallo, seit 2 Tagen ist mein Rechner gähnend langsam und es sind immer wieder auch bei getrenntem Internet Pop-Up´s aufgegangen mit irgendwelchen Infektionswarnungen und Downloadangeboten für Adwarescanner. Ein Scan mit Adaware hat einige Sachen beseitigt, ein zusätzlicher Versuch mit Pestpatrol ist fehl geschlagen, es lässt sich nicht mehr starten. Ebenso lassen Sich auch keine Registry-Scan´s mit Fix-it Utilities und Regsupreme mehr durchführen. Die testweise installierten Registry-Cleaner Registry Mechanic und Registry First Aid lassen sich erst gar nicht starten. KAV hat noch einige Ergebnisse gebracht, verschiedene online-scan´s wie Trend-Micro leider keine weiteren. Ich habe mal die Log von HijackThis v1.98.2 angehängt. Ich hoffe, es kann mir jemand helfen!!! Logfile of HijackThis v1.98.2 Scan saved at 22:14:01, on 15.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Programme System\Sygate Personal Firewall\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe E:\PROGRA~3\Fix-It\mxtask.exe E:\Programme\Nero\InCD\InCD\InCDsrv.exe E:\Programme System\Kaspersky Anti-Virus Personal Pro\kavmm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe E:\Programme System\O&O CleverCache\OOCCSVC.exe C:\WINDOWS\System32\PGPsdkServ.exe E:\Video\ProShowGold\ScsiAccess.exe C:\WINDOWS\System32\SLEE401.exe C:\WINDOWS\System32\SLEE81.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\WFXSVC.EXE E:\PROGRA~3\Fix-It\mxtask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\WINDOWS\System32\wfxsnt40.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE E:\PROGRA~3\PESTPA~1\PPMemCheck.exe E:\PROGRA~3\PESTPA~1\CookiePatrol.exe E:\Programme System\Kaspersky Anti-Virus Personal Pro\kav.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe E:\programme Telek\Winfax\WFXCTL32.EXE E:\programme Telek\Fritz\FriFon32.exe E:\programme Telek\Fritz\IWatch.exe E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe E:\Programme\Post_it\psn.exe E:\PROGRA~2\Post_it\PSNGive.exe C:\Programme\Internet Explorer\iexplore.exe G:\Test1\SECURITY\HijackThis v1.98.2\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [cFosDNT] E:\programme Telek\cFos\cFosDNT.exe O4 - HKLM\..\Run: [WFXSwtch] E:\programme Telek\winfax\WFXSWTCH.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] C:\WINDOWS\System32\wfxsnt40.exe O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe O4 - HKLM\..\Run: [Sygate] "E:\Programme System\Sygate Personal Firewall\Smc.exe" -start O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Wheel Mouse\5.3\MOUSE32A.EXE O4 - HKLM\..\Run: [PPMemCheck] E:\PROGRA~3\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Programme System\PestPatrol\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] E:\PROGRA~3\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [KAV50] "E:\Programme System\Kaspersky Anti-Virus Personal Pro\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKCU\..\Run: [Iconoid] "C:\Programme\Iconoid\iconoid.exe" -wait 0 O4 - HKCU\..\Run: [RFAgent] E:\Programme System\RFA\rfagent.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Controller.LNK = E:\programme Telek\Winfax\WFXCTL32.EXE O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: FriFon32.exe.lnk = E:\programme Telek\Fritz\FriFon32.exe O4 - Global Startup: ISDNWatch.lnk = E:\programme Telek\Fritz\IWatch.exe O4 - Global Startup: Microtek Scanner Finder.lnk = E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: Post-it® Software Notes.lnk = E:\Programme\Post_it\psn.exe O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Alles mit FlashGet laden - E:\Programme System\FlashGet\jc_all.htm O8 - Extra context menu item: Download the ¤t page with Offline Explorer - file://E:\Programme System\Offline Explorer Enterprise\Add_AllO.htm O8 - Extra context menu item: Download using Offline &Explorer - file://E:\Programme System\Offline Explorer Enterprise\Add_UrlO.htm O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Mit FlashGet laden - E:\Programme System\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~3\FlashGet\flashget.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - O17 - HKLM\System\CCS\Services\Tcpip\..\{B69869C9-C5E5-48F8-82EA-65EF25DB8354}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{E30E14C2-F6E6-4CAD-B996-17E55AB3E655}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ADF286-6B7B-4934-A014-AE0F99704BE5}: NameServer = 217.237.150.141 217.237.150.97 |
@ stylus, welche Ergebnisse hat KAV gebracht? Viren? Namen? Überprüfe mit virusscan.jotti.dhs.org: C:\WINDOWS\System32\SLEE81.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\WFXSVC.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5 a.exe C:\WINDOWS\System32\wfxsnt40.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2 a.exe E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe E:\Programme\Post_it\psn.exe E:\PROGRA~2\Post_it\PSNGive.exe E:\programme Telek\winfax\WFXSWTCH.exe E:\Programme System\Sygate Personal Firewall\Smc.exe" -start E:\programme Telek\Fritz\FriFon32.exe E:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe Ergebnis? SD |
Hi, der Scan der Dateien hat nichts Neues gebracht. Ich habe mittlerweile herausgefunden, dass die Programme im abgesicherten Modus alle laufen. Ein Scan mit Pestpatrol, Adaware, Spybot, KAV hat nichts ergeben. Eine Registry-Säuberung habe ich durchgeführt. Wieder zurück im normalen Modus und die Probleme sind wieder da!! |
vielleicht mal vor boot in den abgesicherten modus die systemwiederherstellung deaktivieren (arbeitsplatz, rechte maustaste, systemwiederherstellung). dann im abgesicherten modus scannen und cleanen. dann wieder neustart (normal) und die systemweiderherstellung aktivieren. |
"...gähnend langsam und es sind immer wieder auch bei getrenntem Internet Pop-Up´s aufgegangen mit irgendwelchen Infektionswarnungen und Downloadangeboten für Adwarescanner. Ein Scan mit Adaware hat einige Sachen beseitigt, ein zusätzlicher Versuch mit Pestpatrol ist fehl geschlagen, es lässt sich nicht mehr starten. Ebenso lassen Sich auch keine Registry-Scan´s mit Fix-it Utilities und Regsupreme mehr durchführen. Die testweise installierten Registry-Cleaner Registry Mechanic und Registry First Aid lassen sich erst gar nicht starten." ------------------------------------------------ Gleiches Problem habe ich auch... bei mir ist in den "Trusted Sites" beim IE die ULR http://*63.219.181.7 eingetragen und lässt sich auch nicht entfernen, bzw. ist sofort wieder da. eScan hat herausgefunden, dass die Datei msacmx.dll einen Virus hat... Falls also die Lösung bereits irgendwo bekannt ist... ich wäre ein dankbarer Abnehmer... |
Hallo stylus, erstelle bitte ein neues Hijack This Logfile und poste es. Hallo Fiffi Kronsbein, wo kommst denn Du aufeinmal her? Könntest Du Dich bitte wieder in Deinen eigenen Thread begeben und dort ebenfalls ein neues Hijack This Logfile posten? Das wäre nett, denn dann bleiben unsere Threads ein bisschen übersichtlicher. Danke für Dein Verständnis. SD |
An die 'O15 - Trusted Zone: h**p://*.63.219.181.7'-Geschädigten: Lest Euch bitte einmal dieses Posting von mir und den englischen Beitrag bei Wilders durch. Ich fürchte dies dürfte bei Euch zutreffen. Ladet Euch hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpackt die Zip-Datei in einen eigenem Ordner. Anschließend startet ihr aus diesem Ordner die Datei runme.bat. Ihr erhaltet zwei Log-Dateien. 1x eine look.log und eine err.log. Postet bitte dessen Inhalt hier. Die weiteren bei Wilders beschriebenen Punkte solltet ihr erst nach einer Auswertung der Logfiles machen, bzw. wenn ihr genau wisst, was ihr macht! |
Hallo 1 Ich habe das gleiche Problem.Aber nix hilft. Die Seite bei Wilders ist leider Englisch und da ich der englischen Sprache nicht so sehr mächtig bin, möchte ich auch nichts falsches machen. Das ist die MH4_LOOK An Ms4Hd_look by IMM (v0.003) Version Info: 5.1000 = Windows XP Pro (Build 2600) The volume containing the system directory is C: (NTFS) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues Error: Unable to open key (Return Code was 2) HKLM\Software\Microsoft\Windows\CurrentVersion\Run (1 subkey(s) and 15 values) last modified 12:11 3/12/2004 (UTC) [clfmon.exe] "clfmon.exe" (SZ) [Zone Labs Client] "C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe" (SZ) [WinDVR SchSvr] ""C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"" (SZ) [WinampAgent] "C:\Programme\Winamp\winampa.exe" (SZ) [Ulead AutoDetector v2] "C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" (SZ) [TkBellExe] ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" (SZ) [nwiz] "nwiz.exe /install" (SZ) [NvMediaCenter] "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" (SZ) [NvCplDaemon] "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" (SZ) [NeroCheck] "C:\WINDOWS\system32\NeroCheck.exe" (SZ) [mwavscan] ""C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s" (SZ) [KernelFaultCheck] "%systemroot%\system32\dumprep 0 -k" (SZ) [Cmaudio] "RunDll32 cmicnfg.cpl,CMICtrlWnd" (SZ) [AVG7_CC] "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" (SZ) [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" und das die ERR NtQuerySystemInformation (Entry at 8525B0) restored to 77F6EE83 NtEnumerateValueKey (Entry at 852430) restored to 77F6E843 NtEnumerateKey (Entry at 8522C0) restored to 77F6E823 NtQueryDirectoryFile (Entry at 852630) restored to 77F6ECC3 LdrLoadDll (Entry at 852180) restored to 77F469D2 NtResumeThread (Entry at 852090) restored to 77F6F093 Damit kann ich aber nichts anfangen :headbang: Das Ding ist echt zum verzweifeln. Gruß schnucki100 |
Hallo Schnucki, in der Tat, dieses 'Teil' ist ziemlich mies: Mach bitte als erstes einen Scan mit HijackThis -> http://www.trojaner-board.de/51130-a...ijackthis.html und poste die komplette Log-Datei. |
Logfile of HijackThis v1.98.2 Scan saved at 11:44:25, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\sfcver.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Opera\opera.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab :mad: Das ist der Aktuelle Scan,im moment ist die http://*.63.219.181.7 mal wieder nicht ,drin kann sich aber nur um mind. einen Neustart handeln ,dann ist das Ding auch wieder da. |
Hallo, lade Dir das Tool Killbox herunter -> http://download.broadbandmedic.com/KillBox.exe (dirketer DownloadLink) Anschließend eScan (s. Signatur) Starte den Rechner anschließend im abgesicherten Modus und lösche mit Killbox (Kurzanleitung hier -> http://www.trojaner-board.com/showpo...86&postcount=9 ) und lösche auf dem beschriebenen Weg die folgenden Dateien: Zitat:
Anschließend im normalen Modus booten und posten, was von eScan gefunden wurde zusätzlich ein dann aktuelles Log von HijackThis |
Hallo ! So die dateien hab ich gelöscht, waren allerdings nicht in systhem32 sondern in C:\WINDOWS\Prefetch. Der escan im abgesicherten Modus hat nichts gefunden. Die aktuelle Hijacklog Logfile of HijackThis v1.98.2 Scan saved at 14:49:26, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab nu ist der O15 wieder da :koch: |
Hallo, versuchen wir es noch einmal mit einem anderen Tool! Lade rem.zip herunter http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!). Entpacke es im Verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem Verzeichnis ist!) und starte den Rechner im abgesicherten Modus. Anschließend starte die Datei rem.bat. Starte den Rechner anschließend im normalen Modus neu. Es sollte jetzt direkt unter C:\ eine Datei namens log.txt zu finden sein. Poste bitte den Inhalt hier. Außerdem brauchen wir dann das aktuelle Log von HijackThis. zusätzlich zur log.txt gibt es unter C:\ die Dateien bad.reg und bad.zip. Bitte diese Dateien zunächst nicht 'anpacken'. Viel Erfolg! Danke an raman für den Tipp! :daumenhoc Ohne ihn wäre ich an dieser Stelle ziemlich aufgeschmissen! <Edit> Ich habe den Link geändert, da nur an der jetzigen Fundstelle gewährleistet ist, dass immer die aktuelle Version von rem.zip heruntergeladen wird. Die gestern bei mir geparkte Version steht ab sofort nicht mehr zur Verfügung! </Edit> |
Hallo mal wieder! Hier der log.txt: Microsoft Windows XP [Version 5.1.2600] C:\WINDOWS\system32 "Files found" --------------------------------------------------------------------- Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] ----------------------------------------------------------------- Done Und der neue HIJ Logfile of HijackThis v1.98.2 Scan saved at 11:32:45, on 06.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\sfcver.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\Dokumente und Einstellungen\ALLE\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ALLE\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IMOL] C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe /c O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: http://*.search-soft.net O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab Es ist doch echt zum verzweifeln! :koch: |
Zitat:
Du solltest Dein System dringenst mal aktualisieren (www.windowsupdate.com). Wobei ich im Moment zu einer Neuinstallaton tendiere, bei dem Zeitaufwand, den Du bisher erfolglos betrieben hast.... 'Irgendwie' verhält sich der Rechner absolut nicht wie er soll. Das kann an dem 'Uralt-Patch-Stand' liegen, ich weiß es allerdings nicht genau. http://www.trojaner-board.com/images...s/confused.gif Ich sehe doch, dass die schädlichen und imho vernatwortlichen Prozesse vorhanden sind: Zitat:
Diese Zeile deutet nicht darauf hin: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board