| |
| |||||||
Log-Analyse und Auswertung: FreshbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
25.01.2005, 13:19
| #1 |
| |  Freshbar Hallo zusammen, ich habe eine Symbolleiste (Freshbar) in meinem Browser, die sich nicht entfernen lässt. Es öffnen sich Seiten, die ich nicht aufgerufen habe. Nachfolgend das Logfile, weiß jemand Rat? Danke im Voraus. Eumel (Hans) PS: Ich bin kein Computer-Experte.... Logfile of HijackThis v1.99.0 Scan saved at 12:55:42, on 25.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\progra~1\1&1pro~1\virtus~1\virtusafe.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\smss.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\WINDOWS\system32\smbdins.exe C:\WINDOWS\system32\tsmsetup.exe C:\WINDOWS\system32\nbtrstat.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Netzip Classic\Netzip.exe C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMP\ZIP10\0\0\HIJACK~1.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp1.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [1&1 VirtuSafe] c:\progra~1\1&1pro~1\virtus~1\virtusafe.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [T-Remover] C:\Dokumente und Einstellungen\Hansjörk\trojanremover.exe +ls O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Service Manager] C:\WINDOWS\smss.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{260C19BC-0A79-412A-9139-125EC7AE320C}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{3821CF7C-C41C-4405-8E27-62B59BA9F9A6}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{59B0A96D-F377-40E5-A0F1-8AB467446926}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{874ED0FC-AE18-4A9D-AB2C-00707724BDCA}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E78B37-A5A9-4ABC-A1E8-81991EFF4621}: NameServer = 69.50.188.180 195.225.176.31 O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
25.01.2005, 13:57
| #2 |
  | Freshbar Hi,
__________________Wir könnten jetzt anfangen, hier etwas zu bereinigen; da ich aber glaube, daß du mehr drauf hast, führe bitte im abgesicherten Modus bei deaktivierter Systemwiederherstelllng einen escan genau nach Anleitung aus. Poste dann das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.) cacatoa
__________________ |
|
25.01.2005, 17:17
| #3 |
| | Freshbar Hallo,
__________________ich habe escan im abgesicherten Modus laufen lassen, hier das Ergebnis: File C:\WINDOWS\system32\msvhn.dll infected by "Trojan-Clicker.Win32.Agent.bu" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\rdspclips.exe infected by "HackTool.Win32.Hidd.e" Virus. Action Taken: No Action Taken. File C:\WINDOWS\smss.exe infected by "Trojan-Proxy.Win32.Migmaf.h" Virus. Action Taken: No Action Taken. File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hdhkq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\smbdins.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hduim.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\upncont.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\iesp1.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\nbtrstat.exe infected by "Trojan-Clicker.Win32.Small.dg" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\netupd32.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\od.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\hdhro.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\Temp\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\KPIROXUB\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\433BYS5H\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\BBDJF5SS\e[1].htm infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken. Danke!! |
|
25.01.2005, 17:37
| #4 |
| | Freshbar Hallo, eumel, die einzige Möglichkeit, Dein System wieder sauber zu bekommen ist Neuaufsetzen des Systems. du hast dermaßen viele extrem böse Sachen drauf, daß du eine Gefahr für alle anderen im Netz bist. Trenne den Rechner vom netz, nachdem Du die Tipps im Link gelesen hast und verfahre genau danach. Bezeichnend ist u.a. daß Du Sachen drauf hst, die z.T erst seit ein paar Tagen, der hier: Trojan-Clicker.Win32.Agent.bu erst seit heute bekannt ist. du hast, was am schlimmsten ist, den da drauf: Trojan-Proxy.Win32.Migmaf.h, der folgendes macht: Troj/Migmaf-A kann als reverser Proxy-Webserver auf dem Computer des Opfers fungieren. Dadurch kann ein Remote-Anwender unerwünschte Websites über den Computer des Opfers zur Verfügung stellen, ohne dass sie nachverfolgt und geschlossen werden können. Quelle Sophos. Das heißt, Dein Rechner könnte schwersten mißbraucht werden, z.B. zum Versand von Kinderpornographie und vielem anderen mehr. Tut mir leid, Dir nichts anderes sagen zu können. Melde Dich, wenn Du wieder "clean" bist. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
12.02.2005, 13:35
| #5 |
| | Freshbar Hallo. Ich habe auch den Freshbar-Kram und auch schon einiges mit hijack gefixt, aber die popups etc. öffnen sich immer noch ab und zu und ich fange mir dadurch wieder neue sachen ein. bis eben zumindest, da ich jetzt nur noch mit firefox surfe, allerdings schätze ich einfach, dass der rechner immer noch verseucht ist. mein aktuelles logfile (siehe unten) habe ich auf www.hijackthis.de checken lassen und finde nichts explizit böses mehr, registry hab ich alles gelöscht, was ich unter dem suchbegriff "freshbar" finden konnte (1 einziger Schlüssel). was nun? bitte helft mir. Habe übrigens auch keine große Ahnung von Computern. Danke Logfile of HijackThis v1.99.0 Scan saved at 13:35:37, on 12.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Logitech\iTouch\iTouch.exe E:\Programme\ICQLite 4\ICQLite.exe E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe E:\Logitech\MouseWare\system\em_exec.exe E:\Quicktime\qttask.exe E:\Antivir Personal 6\AVGNT.EXE E:\Netscape 7.1\Netscp.exe E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe E:\TFT Software\MagicTune 2.5\GammaTray.exe E:\TFT Software\Natural Color\NaturalColorLoad.exe E:\Antivir Personal 6\AVGUARD.EXE E:\Antivir Personal 6\AVWUPSRV.EXE C:\WINDOWS\explorer.exe E:\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Tobias\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Name - {B4F343C0-3964-4AA4-86D5-E4C7C6DC6E7D} - C:\WINDOWS\System32\msstl.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -minimize O4 - HKLM\..\Run: [RemoteControl] "E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] E:\Antivir Personal 6\AVGNT.EXE /min O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Netscape 7.1\Netscp.exe" -turbo O4 - HKCU\..\Run: [PowerBar] "E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -trayboot O4 - Global Startup: Color Calibration.lnk = ? O4 - Global Startup: NaturalColorLoad.lnk = ? O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.serv12.com/4/s1/1/q.chm::/file.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4E659871-7127-4DF8-93CB-8042CC91C9C8}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{94D267BF-C6F1-4884-9CCD-1C439D86F2F0}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{94F409C7-02A3-4119-85B5-A0CBB281A817}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{B22350C0-3863-48A0-BE77-9CAEDBB76480}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4149C17-4D6D-4E3D-9385-E27D7A1B5110}: NameServer = 69.50.176.156,195.225.176.31 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Antivir Personal 6\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Antivir Personal 6\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe |
|
12.02.2005, 13:39
| #6 |
 | Freshbar Was hast du genau gelöscht? Es ist nicht gut das ohne Aneiltung zu machen. Das hier: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe sieht auch nicht gut aus,ich geh mal davon aus das du den hattest, http://www.sophos.de/virusinfo/analy...2forbotbd.html und gefixt hast,oder? |
|
05.05.2005, 13:09
| #7 |
| | Freshbar hi, habe das gleiche problem mit der freshbar wenn ich die fehler mit hijack gefixt habe, sind sie beim nächsten suchen wieder da, was soll ich da machen hier mal der report: Logfile of HijackThis v1.99.1 Scan saved at 14:07:52, on 05.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\avmclient\panapp.exe C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\khooker.exe C:\Programme\avmclient\bluefritz!.exe C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\system32\sistray.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe C:\WINDOWS\sllights.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\eMule\emule.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp\Rar$EX00.539\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchmaid.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dskrfuoui.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A3FAAA35-C109-49C4-9730-587FA1A3884F} - C:\WINDOWS\System32\dskrfuoui.dll O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - res://snipit.dll/101 (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{809C910A-BA62-4136-9F8D-A7146F481949}: NameServer = 69.50.184.85,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{DCB34B4D-1AB9-4107-BD7B-AB3BEA90602D}: NameServer = 69.50.184.85 195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{ED1DE612-28A1-433C-A923-853B62C741F0}: NameServer = 69.50.184.85,195.225.176.37 O18 - Filter: text/html - {D57B2772-797A-4821-A8B9-A7F98C7A87A6} - C:\WINDOWS\System32\dskrfuoui.dll O18 - Filter: text/plain - {D57B2772-797A-4821-A8B9-A7F98C7A87A6} - C:\WINDOWS\System32\dskrfuoui.dll O23 - Service: AVM BT Connection Service - Unknown owner - C:\Programme\avmclient\avmbtservice.exe O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe vielleicht kann mir ja jemand helfen.... |
|
| Themen zu Freshbar |
| .inf, adobe, bho, browser, danke, desktop, dll, einstellungen, entfernen, excel, explorer, hijack, hijackthis, internet, internet explorer, logfile, nvidia, programme, rundll, seiten, software, system, tcpip, temp, usb, windows, windows messenger, windows xp, yahoo |
Hybrid-Darstellung
