|
Plagegeister aller Art und deren Bekämpfung: WinFixer 2005Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.09.2005, 21:17 | #31 |
| WinFixer 2005 Liebe Sabina, vielen Dank schon einmal für Deine Hilfe. Muß Dir vielleicht vorweg noch sagen, daß ein Bekannter heute schon einige Dateien gelöscht hat, die er als Viren erkannt hat - er kennt sich gut aus. Könnte also sein, daß sich Problem schon erledigt hat. Aber vielleicht sollte ich auf Nummer sicher gehen. Gruß Janina Logfile of HijackThis v1.99.1 Scan saved at 22:13:40, on 12.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\drivers\IMountSRV.exe C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe C:\WINDOWS\system32\slserv.exe C:\Programme\SophosNew\AutoUpdate\ALsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\downloads\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\temp\msbb.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AutoText\autotext.exe C:\Programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\SophosNew\AutoUpdate\ALMon.exe C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\InterVideo\WinDVR\WinScheduler.exe C:\Programme\winzip\winzip\WZQKPICK.EXE C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://www.ub.uni-heidelberg.de/cgi-bin/proxy.cgi:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing) O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe O4 - HKLM\..\Run: [WinampAgent] "C:\downloads\Winamp3\winampa.exe" O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini O4 - HKLM\..\Run: [odatad] C:\WINDOWS\odatad.exe O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\S.A.D\PDF-XChange 3 Pro\pdfSaver\pdfSaver3.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\SophosNew\AutoUpdate\ALMon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinDVD 5.lnk = C:\Programme\InterVideo\DVD5\WinDVD.exe O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\winzip\winzip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by19fd.bay19.hotmail.msn.com/...s/MsnPUpld.cab O16 - DPF: {4F5E4276-C120-11D6-A1FD-00508B9D48EA} (dldisplay Class) - http://www.gamehouse.com/ghdlctl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124221067359 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1126430421875 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp04.photoprintit.de/microsi...ex/XUpload.ocx O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\System32\drivers\IMountSRV.exe O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\SophosNew\AutoUpdate\ALsvc.exe |
12.09.2005, 21:55 | #32 |
| WinFixer 2005 der PC scheint weiterhin verseucht zu sein:
__________________CCleaner--> loesche alle *temp-Datein http://nikita.eddys-domain.de/IE.html öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [odatad] C:\WINDOWS\odatad.exe PC neustarten loeschen: c:\temp\msbb.exe C:\WINDOWS\odatad.exe #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein arbeite bitte L2mfix ab (alle 2 Durchgaenge und poste mir die jeweiligen logs) http://nikita.eddys-domain.de/L2mfix.html
__________________ |
12.09.2005, 23:15 | #33 |
| WinFixer 2005 hallo ...
__________________an alle lieben helfer in diesem forum .. bin - wie solls anders sein - auch von diesem WinFixer betroffen...habe nicht wirklich viel durchblick im bezug auf seine gefahren und wirkungen ! allerdings bin ich mir bewusst dass des teil nichts "positives" sein kann ... *clever,oder?? * *löl* na nun...mal... 1.) wäre klasse wenn ihr mir mal nen bissi von dem "ding" erzählen könntet..(z.B. gefahren, mögliche eigenschaften ..usw) 2.) wäre noch viel "klasser" *g* wenn ihr mir erklären könnt WIE ich des teil VOLLSTÄNDIG weg bekomme !!! vielen dank im vorraus... PS - poste hier mal auf verdacht meine HiThis-Logfile !! PS2 - hab nicht die geringste ahnung wie ich daraus etwas lesen soll ! *schäm* DANKE !! Logfile of HijackThis v1.99.1 Scan saved at 00:11:55, on 13.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\System32\LVComS.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\AtzeMarcelHeidi\Eigene Dateien\Meine empfangenen Dateien\Install.Programme\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadr...qId=1838943554 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: MSEvents Object - {827DC836-DD9F-4A68-A602-5812EB50A834} - C:\WINDOWS\System32\ddaby.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Verbindung.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://data.flatcast.com/NpFp415.dll O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab O16 - DPF: {F834FDED-CB7E-4CAC-878B-16089C04EFC7} (Flatcast Producer 4.12) - http://www.flatcast.com/objects/NpFp412.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{00C6F81A-B9AC-4867-86D4-D98A130DE962}: NameServer = 69.50.176.198 195.225.176.153 O17 - HKLM\System\CCS\Services\Tcpip\..\{8B35166D-F21C-4A31-8D75-82CCCF63FF99}: NameServer = 69.50.176.198,195.225.176.153 O17 - HKLM\System\CCS\Services\Tcpip\..\{DD912DA3-177D-4BE7-B9A7-2FF6B3B40ED4}: NameServer = 69.50.176.198,195.225.176.153 O17 - HKLM\System\CS1\Services\Tcpip\..\{00C6F81A-B9AC-4867-86D4-D98A130DE962}: NameServer = 69.50.176.198 195.225.176.153 O20 - Winlogon Notify: ddaby - C:\WINDOWS\System32\ddaby.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe PS3 -bin für jede hilfestellung enorm dankbar !! gruss Marcel |
12.09.2005, 23:25 | #34 |
| WinFixer 2005 Liebe Sabina, habe gerade 2 Probleme beim Abarbeiten Deiner Hilfe. 1. Ich habe beim HijackThis nicht verstanden, daß ich nur die von Dir unter den Befehlen angegebenen "Dateien" mit Häkchen makieren soll und fixen. Ich habe alle gefixt. 2. Habe nun aber trotzdem weitergemacht. Bei L2mfix kommt nun die Meldung: C:\WINDOWS\system32\cmd.exe C:\WINDOWS\SYSTEM32\AUTOEXEC.NT. Die Systemdatei ist nicht geeignet, um Anwendungen für MS-DOS oder Microsoft Windows auszuführen. Klicken sie "Schließen", um die Anwendung zu beenden. Was soll ich tun? Ich bin offensichtlich zu dumm... Grüße Janina |
12.09.2005, 23:33 | #35 |
| WinFixer 2005 1. log-datei L2MFIX find log 1.04a These are the registry keys present ********************************************************************************** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER ********************************************************************************** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" ********************************************************************************** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults" "{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page" "{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions" "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder" "{A3A1D8A1-006D-4B93-BA27-6F6B4C9C4F1D}"="Sophos Anti-Virus Shell Extension" ********************************************************************************** HKEY ROOT CLASSIDS: ********************************************************************************** Files Found are not all bad files: ********************************************************************************** Directory Listing of system files: Datentr„ger in Laufwerk C: ist System Volumeseriennummer: ECAE-D346 Verzeichnis von C:\WINDOWS\System32 13.09.2005 00:08 <DIR> dllcache 17.09.2002 06:38 <DIR> Microsoft 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 1.685.086.208 Bytes frei |
12.09.2005, 23:46 | #36 |
| WinFixer 2005 2. log-Datei Setting Directory C:\ C:\ System Rebooted! Running From: C:\ killing explorer and rundll32.exe Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 2004 'explorer.exe' Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 176 'rundll32.exe' Scanning First Pass. Please Wait! First Pass Completed Second Pass Scanning Second pass Completed! Zipping up files for submission: adding: clear.reg (188 bytes security) (deflated 2%) adding: DownloadLog.txt (188 bytes security) (deflated 9%) adding: Lang.txt (188 bytes security) (deflated 47%) adding: lo2.txt (188 bytes security) (deflated 54%) adding: SCAN.TXT (148 bytes security) (deflated 57%) adding: test.txt (188 bytes security) (stored 0%) adding: test2.txt (188 bytes security) (stored 0%) adding: test3.txt (188 bytes security) (stored 0%) adding: test5.txt (188 bytes security) (stored 0%) Restoring Registry Permissions: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Revoking access for predefined group "Administrators" Inherited ACE can not be revoked here! Inherited ACE can not be revoked here! Registry permissions set too: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Restoring Sedebugprivilege: Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332 Restoring Windows Update Certificates.: The following Is the Current Export of the Winlogon notify key: **************************************************************************** Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif] "DLLName"="wzcdlg.dll" "Logon"="WZCEventLogon" "Logoff"="WZCEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000000 The following are the files found: **************************************************************************** Registry Entries that were Deleted: Please verify that the listing looks ok. If there was something deleted wrongly there are backups in the backreg folder. **************************************************************************** REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" **************************************************************************** Desktop.ini Contents: **************************************************************************** **************************************************************************** HijackThis 1 Logfile of HijackThis v1.99.1 Scan saved at 00:42:49, on 13.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Hijack This 2 Logfile of HijackThis v1.99.1 Scan saved at 00:44:49, on 13.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\HijackThis.exe O4 - HKLM\..\Run: [AutoText] "C:\Programme\AutoText\autotext.exe" mini O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\SophosNew\Sophos Anti-Virus\SavService.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe So, ich hoffe, daß ich nun alles einigermaßen richtig gemacht habe. Da im Moment noch alles funktioniert habe ich mit meinem "fixen" von allen Elementen vielleicht doch keinen allzu großen Schaden angerichtet. Ich bin leider vollkommen hilflos. Doch solange hier noch alles läuft... Grüße Janina |
13.09.2005, 16:19 | #37 | |
| WinFixer 2005 Hallo@pinkj wenn du in die Datei gehst, wo der HijackThis ist, findest du ein BackUp. so kann man alles, was gefixt wurde wiederherstellen suche (in der mitte ungefaehr VundoFix.exe und lade http://www.geekstogo.com/forum/index...howtopic=61817 Zitat:
* boote in den abgesicherten Modus (F8 druecken, wenn er PC hochfaehrt * Double-click VundoFix.exe * Klicke KillVundo.bat * nun wird folgendes angezeigt: -kopiere rein: C:\WINDOWS\System32\ddaby.dll -druecke Enter, und dann die F6 Taste, dann wieder Enter * dann wird sich HijackThis oeffnen: nun...da musst du nun nichts mehr fixen * danach starte den PC neu * es wird ein "Blue Screen of Death" sein, das ist normal ...... --------------------------------------------------------------------- oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern --> dann erscheint eine vundo.reg auf dem Desktop http://nikita.eddys-domain.de/reg/vundo.reg Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "vundo.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird installiere CleanUp! CleanUp40.exe http://www.zdnet.de/downloads/prg/i/9/de000NI9-wc.html -Click "Options..." -Custom CleanUp! * Empty Recycle Bins * Delete Cookies * Delete Prefetch files * Cleanup! All Users - Click OK - Press the CleanUp! - nicht neustarten CWShredder http://www.trendmicro.com/ftp/produc...ols/cwshredder scanne mit ewido und poste mir den scanreport http://nikita.eddys-domain.de/Ewido.html + das neue Log vom HijackThis
__________________ MfG Sabina Geändert von Sabina (13.09.2005 um 16:33 Uhr) |
13.09.2005, 16:51 | #38 |
| WinFixer 2005 Hallo@pinkj vergiss alles, was ich geschrieben habe, es waren nicht deine Dateien, die ich da bearbeitet habe und ich kann nicht mehr editieren, das ist, wenn man nicht aufpasst und ein anderer dazwischenpostet. mache nur das: scanne mit ewido und poste mir den scanreport http://nikita.eddys-domain.de/Ewido.html
__________________ MfG Sabina Geändert von Sabina (13.09.2005 um 16:57 Uhr) |
13.09.2005, 16:55 | #39 |
| WinFixer 2005 Hallo Sabina, nachdem ich das letzte Mal einfach Schritt für Schritt vorgegangen bin, statt alles erst einmal durchzulesen und ich dann ja zur "Massenfixerin" wurde, habe ich gerade Deine Hilfe gelesen. AUßerdem habe ich keinen Drucker und schreibe fleißig ab. Bei einem Punkt bin ich nicht sicher, ob ich Dich richtig verstehe. Du schreibst, daß ich in Browser -> Datei ->Seite speichern usw. machen soll. Mir ist nicht klar, welche Seite ich da speichern soll. Du hast doch davor geschrieben, daß nach Neustart ein "Blue Death Screen" auftaucht. Vielen Dank für Deine Geduld mit mir. Gruß Janina |
13.09.2005, 16:58 | #40 |
| WinFixer 2005 Alles zurück. Habe es verstanden! |
13.09.2005, 17:02 | #41 |
| WinFixer 2005 Hallo@pinkj ja, ich hab nicht aufgepasst.... Hallo@DaCore die Reinigung von deinem PC wird sehr lange und aufwendig, denn es sind zwei verschiedene Viren drauf und beide sehr recent , daher muss ich viele Erkennungstools empfehlen und abarbeiten, die Reinigung wird sich lange hinziehen. was haelst du von formatieren?????
__________________ MfG Sabina |
13.09.2005, 17:29 | #42 |
| WinFixer 2005 Hallo Sabina, das ewido-Scannen läuft, aber dauert ganz schön lange. Ich nehme an, daß ich nichts groß falsch machen kann, wenn ich die gefundenen Viren gleich lösche - so wie mir das ewido vorschlägt. AUßerdem ist es doch nicht schlimm, daß Du mal kurz nicht aufgepaßt hast. Immerhin hast Du es noch bemerkt, während andere einfach fleißig löschen als seien sie Noch eine andere Frage: Habe bis jetzt noch keine dramatischen Probleme wegen der großen "Fix-Aktion" bei HijackThis festgestellt. Mußte zwar mein Virenprogramm neu installieren und einige Programme wieder in den Autostart holen, aber ansonsten keine Riesen-GAUs. Denkst Du ich kann das nun so lassen? Danke und Gruß Janina PS: ewido ist grad mal bei 25%. |
13.09.2005, 17:57 | #43 |
| WinFixer 2005 Hallo Sabina, hier der Scan-Bericht von ewido. Gruß und Dank Janina --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 18:55:37, 13.09.2005 + Report-Checksumme: 2636526B + Scanergebnis: HKLM\SOFTWARE\180solutions -> Spyware.180Solutions : Gesäubert mit Backup HKLM\SOFTWARE\Classes\IELoaderCtl.IELoaderCtl -> Dialer.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\IELoaderCtl.IELoaderCtl\CurVer -> Dialer.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Interface\{0F4A7B40-A295-11CF-A3A9-00A0C9034920} -> Dialer.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Interface\{C60BC918-ABBA-0704-0B53-2C8830E9FAEC} -> Dialer.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Classes\TypeLib\{000000AA-ABBA-0704-0B53-2C8830E9FAEC} -> Dialer.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb -> Spyware.180Solutions : Gesäubert mit Backup HKLM\SOFTWARE\msbb -> Spyware.180Solutions : Gesäubert mit Backup HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\180solutions -> Spyware.180Solutions : Gesäubert mit Backup HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\localNRD -> Spyware.BetterInternet : Gesäubert mit Backup HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} -> Spyware.BlazeFind : Gesäubert mit Backup HKU\S-1-5-21-3643637935-2602755899-3439451290-1005\Software\msbb -> Spyware.180Solutions : Gesäubert mit Backup :mozilla.14:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.18:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.20:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.22:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.23:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.24:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.25:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.26:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup :mozilla.32:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.33:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.34:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.35:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.36:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.40:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.45:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup :mozilla.52:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup :mozilla.53:C:\Dokumente und Einstellungen\Janina Karolewski\Anwendungsdaten\Mozilla\Firefox\Profiles\v8huseo6.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@atdmt[1].txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@doubleclick[2].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@sel.as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Cookies\janina karolewski@weborama[1].txt -> Spyware.Cookie.Weborama : Gesäubert mit Backup C:\Dokumente und Einstellungen\Janina Karolewski\Desktop\hijackThis\backups\backup-20050913-000743-691.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup C:\TEMP\msbbhook.dll -> Spyware.180Solutions : Gesäubert mit Backup C:\WINDOWS\Downloaded Program Files\IELoader.0ll -> TrojanDownloader.Ladder.a : Gesäubert mit Backup ::Report Ende |
13.09.2005, 18:30 | #44 |
| WinFixer 2005hallöööchen Sabrina *g* ja ans formatieren hab ich schon gedacht...*g* und dass es nun 2 sind ...hab ich vorhin auch festellen müssen ...*g* unter anderem issas ne "yaemu.exe" welche sich ewig wieder erneuert !! ganz egal was ich mache *argh* selbst wenn diese weg ist...wird die "yaemu.exe" zu ner "hgqhp.exe" und umgekehrt ...dolle wurscht....könnt kotzen !! *Gg* naja...weiss mir auch net anders zu helfen als zu formatieren !! ;(;(;( werds wohl auch tun...!! besser ist !! nun noch ne frage ... WO hab ich des teil her ??? über den Internet Explorer ,wa?? mit anderen worten nachm formatieren ...wäre es klüger und sinniger ..des MozillaFirefox zu verwenden,wa?? oder is des egal ..mit welchem Browser ich im netz rum-mach ?!?!?!?! PS - dank dir mal dafür dass de geantwortet hast ..*G* greetz Marcel naja... |
13.09.2005, 18:42 | #45 |
| WinFixer 2005 Hallo@pinkj nun poste das neue Log vom HijackThis, vorher loesche noch alle temp-Dateien CCleaner--> loesche alle *temp-Datein --> alles anhaken http://nikita.eddys-domain.de/IE.html
__________________ MfG Sabina |
Themen zu WinFixer 2005 |
board, danke, empfohlen, fixer, nette, verschiedene, verschiedenen, winfixer |