| |
| |||||||
Log-Analyse und Auswertung: Bitte um Überprüfung meines Logfiles!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.01.2005, 14:13
| #1 |
| |  Bitte um Überprüfung meines Logfiles! Hallo Leute, könnte sich bitte jemand mal mein Logfile zu Gemüte führen und mir eine Aussage geben, ob ihr irgendwas auffälliges findet. Ich muss dazu sagen, das ich gerade händisch die ietlbass.dll gelöscht und den Eintrag O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll gefixed habe. Bemerkung: ohne in den abgesicherten Modus zu gehen! Noch eine andere Frage, ich habe bei mit den Trend Micro (bin auch zufrieden soweit) im Einsatz und mit dem escan, habe ich bisher noch keinen Kontakt gehabt, würdet ihr empfehlen mit dem escan zu arbeiten. Ich habe auch noch ad-aware und cwshreder regelmässig am Laufen. Logfile of HijackThis v1.98.2 Scan saved at 13:32:29, on 04.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: *.awmdabest.com O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 Vielen Dank für euer bemühen. Jürgen |
|
04.01.2005, 14:19
| #2 |
  | Bitte um Überprüfung meines Logfiles! @juhe1
__________________wechsle in den abgesicherten modus und fixe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - Default URLSearchHook is missing O15 - Trusted Zone: *.awmdabest.com neu booten, ein neues HJT logfile hier posten chaosman
__________________ |
|
04.01.2005, 15:07
| #3 |
| | Bitte um Überprüfung meines Logfiles! Hallo chaosman,
__________________merce für die schnelle Reaktion, also ich habe jetzt im abgesicheten Modus im User-Status, id besagten drei Themen gefixed. Hier das aktuelle Log-File, Logfile of HijackThis v1.98.2 Scan saved at 15:06:45, on 04.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 Ich habe mich dann im abgesicherten Modus auch noch mal als Admin eingeloggt, und da stand folgendes im Log-File, ich hab aber bisher noch nichts als Admin gemacht und auch hier nichts verändert. Im normalen Windows bin ich immer als User angemeldet! Logfile of HijackThis v1.98.2 Scan saved at 14:59:27, on 04.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE Sollte ich auch als Adimin die besagten Sachen fixen? Danke für die Rückmeldung. Jürgen |
|
04.01.2005, 15:19
| #4 |
| | Bitte um Überprüfung meines Logfiles! Hallo Leute, hier noch einmal ein Log-File, das ich so eben vom HJT 1.99 mach habe lassen! Wie sieht es bei dem Aus? Logfile of HijackThis v1.99.0 Scan saved at 15:21:37, on 04.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing) O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe Serwas Jürgen |
|
04.01.2005, 15:25
| #5 |
| Administrator, a.D. | Bitte um Überprüfung meines Logfiles! Lade eScan AntiVirus Abgesicherter Modus -> Fixe: O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing) Führe danach dies aus: http://www.trojaner-board.de/showpos...6&postcount=31 Scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
|
04.01.2005, 19:56
| #6 |
| | Bitte um Überprüfung meines Logfiles! Hallo Leute, ich habe jetzt alles so gemacht wie es Cidre unten angegeben hat, vom escan habe ich jetzt die üblichen Verdächtigen aus dem Log-File herauskopiert, den Rest der 279 gefundenen Viren, hat er im Quarantäne Verzeichnis vom Trend Micro gefunden. Das neuerste Log-File vom HJT 1.99 nachfolgend. Wie soll ich jetzt mit den vom escan gefundenen Daten umgehen? Händisch Löschen? Passt das HJT Log-File jetzt so weit? Sollte ich das Quaratnäne-Verzeichnis vom Trend Micro/Ad-Aware auch mal löschen? Tue Jan 04 18:32:05 2005 => ********************************************************** Tue Jan 04 18:32:05 2005 => eScan AntiVirus Toolkit Utility. Tue Jan 04 18:32:05 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Tue Jan 04 18:32:05 2005 => Tue Jan 04 18:32:05 2005 => Support: support@mwti.net Tue Jan 04 18:32:05 2005 => Web: http://www.mwti.net Tue Jan 04 18:32:05 2005 => ********************************************************** Tue Jan 04 18:32:05 2005 => Version 4.7.7 (C:\bases\mwavscan.com) Tue Jan 04 18:32:05 2005 => Log File: C:\bases\mwav.log Tue Jan 04 18:32:05 2005 => Latest Date of files inside MWAV: 04 Jan 2005 17:00:52. Tue Jan 04 18:32:05 2005 => Options Selected by User: Tue Jan 04 18:32:05 2005 => Memory Check: Enabled Tue Jan 04 18:32:05 2005 => Registry Check: Enabled Tue Jan 04 18:32:05 2005 => StartUp Folder Check: Enabled Tue Jan 04 18:32:05 2005 => System Folder Check: Enabled Tue Jan 04 18:32:05 2005 => System Area Check: Disabled Tue Jan 04 18:32:05 2005 => Services Check: Enabled Tue Jan 04 18:32:05 2005 => Drive Check: Disabled Tue Jan 04 18:32:05 2005 => All Drive Check :Enabled Tue Jan 04 18:32:05 2005 => Folder Check: Disabled Tue Jan 04 19:24:37 2005 => Total Files Scanned: 28122 Tue Jan 04 19:24:37 2005 => Total Virus(es) Found: 279 Tue Jan 04 19:24:37 2005 => Total Disinfected Files: 0 Tue Jan 04 19:24:37 2005 => Total Files Renamed: 0 Tue Jan 04 19:24:38 2005 => Total Deleted Files: 0 Tue Jan 04 19:24:38 2005 => Total Errors: 4 Tue Jan 04 19:24:38 2005 => Time Elapsed: 00:52:21 Tue Jan 04 19:24:38 2005 => ***** Scanning complete. ***** Tue Jan 04 19:24:38 2005 => Virus Database Date: 2005/01/04 Tue Jan 04 19:24:38 2005 => Virus Database Count: 114672 Tue Jan 04 19:24:38 2005 => Scan Completed. File C:\WINDOWS\notepad.exe.tmp infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ipmk.exe infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\phhqd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\psis80ex.ax infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. C:\WINDOWS\System32\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: No Action Taken. File C:\Programme\VirtualDub\plugins\RadiumMP3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. Logfile of HijackThis v1.99.0 Scan saved at 19:58:54, on 04.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe Mercn für euer Bemühen Jürgen |
|
04.01.2005, 20:04
| #7 |
| Administrator, a.D. | Bitte um Überprüfung meines Logfiles! Fixe diesen Eintrag noch: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zu den Ordner bzw. Dateien und lösche (markieren -> F8 -> JA) die beanstandeten Dateien. Das Löschen der Dateien sollte im abgesicherten Modus ausgeführt werden! Danach dies ausführen - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
|
| Themen zu Bitte um Überprüfung meines Logfiles! |
| abgesicherten modus, ad-aware, adobe, bho, dateien, desktop, einstellungen, escan, excel, explorer, frage, gelöscht, hijack, hijackthis, internet, internet explorer, logfile, logfiles, micro, microsoft, nvcpl.dll, programme, rundll, software, system, tcpip, trend micro, urlsearchhook, windows, windows xp |
Linear-Darstellung
