|
Log-Analyse und Auswertung: FreshbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.01.2005, 13:19 | #1 |
| Freshbar Hallo zusammen, ich habe eine Symbolleiste (Freshbar) in meinem Browser, die sich nicht entfernen lässt. Es öffnen sich Seiten, die ich nicht aufgerufen habe. Nachfolgend das Logfile, weiß jemand Rat? Danke im Voraus. Eumel (Hans) PS: Ich bin kein Computer-Experte.... Logfile of HijackThis v1.99.0 Scan saved at 12:55:42, on 25.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\progra~1\1&1pro~1\virtus~1\virtusafe.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\smss.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\WINDOWS\system32\smbdins.exe C:\WINDOWS\system32\tsmsetup.exe C:\WINDOWS\system32\nbtrstat.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Netzip Classic\Netzip.exe C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMP\ZIP10\0\0\HIJACK~1.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [1&1 VirtuSafe] c:\progra~1\1&1pro~1\virtus~1\virtusafe.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [T-Remover] C:\Dokumente und Einstellungen\Hansjörk\trojanremover.exe +ls O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Service Manager] C:\WINDOWS\smss.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{260C19BC-0A79-412A-9139-125EC7AE320C}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{3821CF7C-C41C-4405-8E27-62B59BA9F9A6}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{59B0A96D-F377-40E5-A0F1-8AB467446926}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{874ED0FC-AE18-4A9D-AB2C-00707724BDCA}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E78B37-A5A9-4ABC-A1E8-81991EFF4621}: NameServer = 69.50.188.180 195.225.176.31 O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
25.01.2005, 13:57 | #2 |
| Freshbar Hi,
__________________Wir könnten jetzt anfangen, hier etwas zu bereinigen; da ich aber glaube, daß du mehr drauf hast, führe bitte im abgesicherten Modus bei deaktivierter Systemwiederherstelllng einen escan genau nach Anleitung aus. Poste dann das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.) cacatoa
__________________ |
25.01.2005, 17:17 | #3 |
| Freshbar Hallo,
__________________ich habe escan im abgesicherten Modus laufen lassen, hier das Ergebnis: File C:\WINDOWS\system32\msvhn.dll infected by "Trojan-Clicker.Win32.Agent.bu" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\rdspclips.exe infected by "HackTool.Win32.Hidd.e" Virus. Action Taken: No Action Taken. File C:\WINDOWS\smss.exe infected by "Trojan-Proxy.Win32.Migmaf.h" Virus. Action Taken: No Action Taken. File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hdhkq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\smbdins.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hduim.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\upncont.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\iesp1.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\nbtrstat.exe infected by "Trojan-Clicker.Win32.Small.dg" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\netupd32.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\od.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hdhro.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\Temp\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\KPIROXUB\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\433BYS5H\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\BBDJF5SS\e[1].htm infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken. Danke!! |
25.01.2005, 17:37 | #4 |
| Freshbar Hallo, eumel, die einzige Möglichkeit, Dein System wieder sauber zu bekommen ist Neuaufsetzen des Systems. du hast dermaßen viele extrem böse Sachen drauf, daß du eine Gefahr für alle anderen im Netz bist. Trenne den Rechner vom netz, nachdem Du die Tipps im Link gelesen hast und verfahre genau danach. Bezeichnend ist u.a. daß Du Sachen drauf hst, die z.T erst seit ein paar Tagen, der hier: Trojan-Clicker.Win32.Agent.bu erst seit heute bekannt ist. du hast, was am schlimmsten ist, den da drauf: Trojan-Proxy.Win32.Migmaf.h, der folgendes macht: Troj/Migmaf-A kann als reverser Proxy-Webserver auf dem Computer des Opfers fungieren. Dadurch kann ein Remote-Anwender unerwünschte Websites über den Computer des Opfers zur Verfügung stellen, ohne dass sie nachverfolgt und geschlossen werden können. Quelle Sophos. Das heißt, Dein Rechner könnte schwersten mißbraucht werden, z.B. zum Versand von Kinderpornographie und vielem anderen mehr. Tut mir leid, Dir nichts anderes sagen zu können. Melde Dich, wenn Du wieder "clean" bist. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
12.02.2005, 13:35 | #5 |
| Freshbar Hallo. Ich habe auch den Freshbar-Kram und auch schon einiges mit hijack gefixt, aber die popups etc. öffnen sich immer noch ab und zu und ich fange mir dadurch wieder neue sachen ein. bis eben zumindest, da ich jetzt nur noch mit firefox surfe, allerdings schätze ich einfach, dass der rechner immer noch verseucht ist. mein aktuelles logfile (siehe unten) habe ich auf www.hijackthis.de checken lassen und finde nichts explizit böses mehr, registry hab ich alles gelöscht, was ich unter dem suchbegriff "freshbar" finden konnte (1 einziger Schlüssel). was nun? bitte helft mir. Habe übrigens auch keine große Ahnung von Computern. Danke Logfile of HijackThis v1.99.0 Scan saved at 13:35:37, on 12.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Logitech\iTouch\iTouch.exe E:\Programme\ICQLite 4\ICQLite.exe E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe E:\Logitech\MouseWare\system\em_exec.exe E:\Quicktime\qttask.exe E:\Antivir Personal 6\AVGNT.EXE E:\Netscape 7.1\Netscp.exe E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe E:\TFT Software\MagicTune 2.5\GammaTray.exe E:\TFT Software\Natural Color\NaturalColorLoad.exe E:\Antivir Personal 6\AVGUARD.EXE E:\Antivir Personal 6\AVWUPSRV.EXE C:\WINDOWS\explorer.exe E:\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Tobias\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Name - {B4F343C0-3964-4AA4-86D5-E4C7C6DC6E7D} - C:\WINDOWS\System32\msstl.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -minimize O4 - HKLM\..\Run: [RemoteControl] "E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] E:\Antivir Personal 6\AVGNT.EXE /min O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Netscape 7.1\Netscp.exe" -turbo O4 - HKCU\..\Run: [PowerBar] "E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -trayboot O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: NaturalColorLoad.lnk = ? O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.serv12.com/4/s1/1/q.chm::/file.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4E659871-7127-4DF8-93CB-8042CC91C9C8}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{94D267BF-C6F1-4884-9CCD-1C439D86F2F0}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{94F409C7-02A3-4119-85B5-A0CBB281A817}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{B22350C0-3863-48A0-BE77-9CAEDBB76480}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4149C17-4D6D-4E3D-9385-E27D7A1B5110}: NameServer = 69.50.176.156,195.225.176.31 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Antivir Personal 6\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Antivir Personal 6\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
12.02.2005, 13:39 | #6 |
| Freshbar Was hast du genau gelöscht? Es ist nicht gut das ohne Aneiltung zu machen. Das hier: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe sieht auch nicht gut aus,ich geh mal davon aus das du den hattest, http://www.sophos.de/virusinfo/analy...2forbotbd.html und gefixt hast,oder? |
12.02.2005, 17:34 | #7 |
| Freshbar es gab einen key, der freshbar hieß den hab ich gelöscht aus der regedit. ansonsten habe ich die "böse" einträge von hijack gefixt (also diejenigen, die www.hijackthis.de als böse angezeigt hat) Das hier: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe -> meinst du, den sollte ich noch fixen? aber ich kann ja nich einfach die system.ini datei löschen?!!?! wie soll ich denn jetzt weiter vorgehen? werde immer noch von trojanern attackiert... vorschläge? danke |
12.02.2005, 18:00 | #8 |
| Freshbar nochmal kurz: die folgenden beiden einträge stören mich noch: F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31 von den o17ern habe ich schon einige glöscht, da kommen aber dauernd wieder neue einträge mit irgendwelchen ip's. was soll ich dagegen tun? zum f2: kann ich jetzt einfach im abgesicherten modus die dateien system.ini, explorer.exe und msmsgs.exe löschen? fixen bringt nichts, nach neustart ist der f2 eintrag wieder da! bitte um hilfe!!!! |
12.02.2005, 19:20 | #9 |
| Freshbar @aich lade escan download anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman
__________________ Bonus vir semper tiro |
12.02.2005, 19:48 | #10 |
| Freshbar @ chaosman meiner Meinung nach ist das nicht erforderlich,denn der Forbot http://www.sophos.de/virusinfo/analy...2forbotbd.html erstellt auch diesen F2 Eintrag,und verändert die .ini daher kann er sofort formatieren,da er den ja wahrscheinlich schon gefixt hat,was ja eh nichts bringt! @aich geh so vor: http://trojaner-board.de/showthread.php?t=12154 Gruss |
13.02.2005, 00:18 | #11 |
| Freshbar ist es irgendwie möglich die original system.ini zu überschreiben? woher könnte ich die .ini bekommen? oder gibts da absolut 0 chance und ich muss formatieren? |
05.03.2005, 12:36 | #12 |
| Freshbar ich hab antivir durchlaufen lassen, der hat bei dem temporären internetdateien ein infiziertes archiv namens "classload[1].jar" das habe ich gelöscht un nu is die freshbar wech. hoffentlich war es wirklich so einfach... mit HijackThis komm ich nich klar, der meint immer mein grafiktreiber wär gefährlich un so, un das tatsächliche problem hatte er garnich gefunden... |
07.03.2005, 00:00 | #13 |
| Freshbar nochmal kurz: die folgenden beiden einträge stören mich noch: F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31 von den o17ern habe ich schon einige glöscht, da kommen aber dauernd wieder neue einträge mit irgendwelchen ip's. was soll ich dagegen tun? zum f2: kann ich jetzt einfach im abgesicherten modus die dateien system.ini, explorer.exe und msmsgs.exe löschen? fixen bringt nichts, nach neustart ist der f2 eintrag wieder da! bitte um hilfe!!!! |
07.03.2005, 00:05 | #14 |
| Freshbar nein ja nicht löschen das sind wichtige system dateien |
07.03.2005, 00:15 | #15 | |
| FreshbarZitat:
dartus @The Don, biste Du Dir da sicher? |
Themen zu Freshbar |
.inf, adobe, bho, browser, danke, desktop, dll, einstellungen, entfernen, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, nvidia, programme, rundll, seiten, software, system, tcpip, temp, usb, windows, windows messenger, windows xp, yahoo |