Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte dringend um Hilfe!!!

Bitte dringend um Hilfe!!!


Log-Analyse und Auswertung: Bitte dringend um Hilfe!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.10.2005, 11:16   #1
Chef
 
Bitte dringend um Hilfe!!! - Ausrufezeichen

Bitte dringend um Hilfe!!!


Hallo,
mein PC spinnt seit einigen Wochen. wenn ich z.b. über google auf eine seite will, komm ich plötzlich auf eine ganz andere seite (z.b. adultfriendfinder, porno-search.com und so ein quatsch), mein computer wird auch langsam. und es kommt ne "warnmeldung" unten rechts im bidschirm, die sagt "your computer might be at risk!" da ich in solchen sachen nur ein laie bin, bitte ich DRINGEND UM HILFE!!!! ich selbst weiss leider nicht, wie ich den PC von evtl. VIREN, SPYWARE ETC befreien kann... Ich habe schon Norton Antivirus, lavasoft Add-Aware, Anti-Vir etc. ausprobiert... jedoch ohne erfolg.
manchmal zeigt mir zonealarm an, dass er irgendwelche spyware gefunden hat und diese dann gelöscht hat...

ich hab mal ne hijackthis-logfile gepostet...vielleicht kann mir ja einer von euch helfen. DANKE IM VORAUS!!!


LOG FILE

Logfile of HijackThis v1.98.2
Scan saved at 12:01:17, on 14.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/245f322aa69067388805/netzip/RdxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CD7480-0CE8-46E8-8FC7-A6796655F7C8}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{A12CA277-1D33-4C7A-AC7D-F7EA61255549}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{E792BA6B-A06E-4760-AE0E-C9BD1B5CB77C}: NameServer = 195.95.218.19,85.255.112.6
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll




MfG
Chef

[edit]
links entfernt
[/edit]
Geändert von GUA (14.10.2005 um 17:30 Uhr)

Alt 14.10.2005, 11:19   #2
stupormundi
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Servus, chef!
Poste bitte ein Logfile mit der aktuellen HighJackthis Version 1.99.1 http://www.trojaner-board.de/showthread.php?t=17493
Außerdem achte darauf, dass Deine links editiert sind (http-->h**p)
http://www.trojaner-board.de/announcement.php?f=20
stupormundi
__________________
Alt 14.10.2005, 11:48   #3
Chef
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


hier nochmal der LOG-FILE

Logfile of HijackThis v1.99.1
Scan saved at 12:45:52, on 14.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Winrar\WinRAR.exe
C:\Programme\HijackThis1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://h**p://software-dl.real.com/2...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CD7480-0CE8-46E8-8FC7-A6796655F7C8}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{A12CA277-1D33-4C7A-AC7D-F7EA61255549}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{E792BA6B-A06E-4760-AE0E-C9BD1B5CB77C}: NameServer = 195.95.218.19,85.255.112.6
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________________
Alt 14.10.2005, 17:19   #4
Haui45
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Hallo,

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{82CD7480-0CE8-46E8-8FC7-A6796655F7C8}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{A12CA277-1D33-4C7A-AC7D-F7EA61255549}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{E792BA6B-A06E-4760-AE0E-C9BD1B5CB77C}: NameServer = 195.95.218.19,85.255.112.6
Diese Einträge sind sehr suspekt. Oder befindest du dich in der Ukraine?

Fixe diese Einträg sowie den O6-Eintrag uns poste ein neues HjT-Log zusammen mit der Virus-Log-Information von eScan.

Alt 15.10.2005, 19:17   #5
Chef
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Hi,

ich hab die Einträge gefixt, die du genannt hast und ein logfile von HijackThis und Escan gemacht:

Hier erst einmal der HJT LOGFILE:

Logfile of HijackThis v1.99.1
Scan saved at 21:00:42, on 15.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\eMail\Mail.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis1\HijackThis.exe
C:\WINDOWS\System32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/245f322aa69067388805/netzip/RdxIE601_de.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Geändert von Chef (15.10.2005 um 20:15 Uhr)

Alt 15.10.2005, 20:13   #6
Chef
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Hi,

ich hab ein logfile von Escan gemacht:

TEIL 1


Fri Oct 14 21:51:44 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Oct 14 21:51:44 2005 => Loading Spyware Signatures from new External Database (Size: 145065).
Fri Oct 14 21:52:07 2005 => Indexed Spyware Databases Successfully Created...

INFECTED

Fri Oct 14 21:52:35 2005 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Fri Oct 14 21:52:35 2005 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Fri Oct 14 21:52:35 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Fri Oct 14 21:52:55 2005 => Offending file found: C:\WINDOWS\conscorr.ini
Fri Oct 14 21:52:55 2005 => System found infected with ezula Spyware/Adware (conscorr.ini)! Action taken: No Action Taken.

Fri Oct 14 21:52:58 2005 => Offending file found: C:\WINDOWS\System32\thehun.dll
Fri Oct 14 21:52:58 2005 => System found infected with pp.dll - p0rn malware Spyware/Adware (thehun.dll)! Action taken: No Action Taken.

Fri Oct 14 21:52:58 2005 => Offending file found: C:\WINDOWS\System32\wwwbar.dll
Fri Oct 14 21:52:58 2005 => System found infected with wwwbar Spyware/Adware (wwwbar.dll)! Action taken: No Action Taken.

Fri Oct 14 21:53:13 2005 => Offending file found: C:\Dokumente und Einstellungen\ram\Favoriten\links\ebay.url
Fri Oct 14 21:53:13 2005 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.


Fri Oct 14 21:53:31 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Fri Oct 14 21:53:31 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\IEAWSDC.DLL". Action Taken: No Action Taken.

Fri Oct 14 21:53:31 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\RdxIE.dll". Action Taken: No Action Taken.

Fri Oct 14 21:55:21 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ga_main.exe" refers to invalid object "". Action Taken: No Action Taken.

Fri Oct 14 21:55:34 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".05/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".05Websites,_Shops,_Magazine". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".2005". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".CCD". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".crmlog". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cue". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/home/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/log/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/tmp/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/usr/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/usr/include/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/usr/include/php/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/usr/kerberos/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/usr/kerberos/lib/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/var/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Assets/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Backups/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Preview/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Preview/Autogen/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Recovery/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Airbrushed%20-%20Gold/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Airbrushed%20-%20Gold/backgrounds/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Airbrushed%20-%20Gold/lines/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Aztec/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Aztec/Images/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/bfdl/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/bfdl/Images/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Cityscape%20-%20Gold-1/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/web/first-magazin/Styles/Cityscape%20-%20Gold-1/secondary%20buttons%20rollover%20highlighted/". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dlr". Action Taken: No Action Taken.

Fri Oct 14 21:55:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ds". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".Ebene". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".est". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".logs/". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".logs/2005/". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".logs/2005/07/". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mpga". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".MZZZZZZZ". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pf". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".query". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sdp". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sfap0". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sfk". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ssm". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sw". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".try". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".VIR". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object "OpenWithList". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Ad-aware 6 Personal". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "BargainBuddy". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "bridge". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Browser Helper". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Day of Defeat". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "eMule.de 30e v10 webservice_is1". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "JD-350". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "kazaalite202_is1". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB828028". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KYRO". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mozilla Firefox (1.0.2)". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "msbb". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Quick Home Search". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Skinner". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "SX-35F and SX-35V Win95". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "T-Online Direktanwahl". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "TraXEx". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Windows SR 2.0". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Yahoo! Companion". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{1526D87C-A955-4FAB-BF18-697BA457E352}". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{3075C5C3-0807-4924-AF8F-FF27052C12AE}". Action Taken: No Action Taken.

Fri Oct 14 21:55:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{47D5D869-FE57-4F2F-A358-83CFAA7B4968}". Action Taken: No Action Taken.

Fri Oct 14 21:55:38 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600137}". Action Taken: No Action Taken.

Fri Oct 14 21:55:38 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600205}". Action Taken: No Action Taken.

Fri Oct 14 21:55:38 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AF8A478C-1A48-4ae0-8464-4851CD5DBB9B}". Action Taken: No Action Taken.

Fri Oct 14 21:56:11 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.

Fri Oct 14 21:56:15 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.

Fri Oct 14 21:56:16 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\player\WMMP.EXE". Action Taken: No Action Taken.

Fri Oct 14 21:56:31 2005 => Entry "HKCR\ed2k\shell\open\command" refers to invalid object ""G:\eMule.de\emule.exe" "%1"". Action Taken: No Action Taken.

Fri Oct 14 21:56:34 2005 => Entry "HKCR\magnet\shell\open\command" refers to invalid object ""G:\Kazaa Lite\KMagnet.exe" "%L"". Action Taken: No Action Taken.
Geändert von Chef (15.10.2005 um 20:26 Uhr)

Alt 15.10.2005, 20:18   #7
Cidre
Administrator, a.D.
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Hallo Chef,

editiere auch die aktiven Links im 3. HJT Log-File.
Anschließend führst du die Find.bat aus und postest uns die gewünschte Virus Log Information, da deine Anhänge nicht übersichtlich sind und auch nicht jeder diese unbedingt öffnen will.

EDIT:
Links wurden zwischenzeitlich von dir entschärft.
__________________
Gruß, Cidre


Alt 15.10.2005, 20:31   #8
Chef
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


TEIL 2


Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmscript.dll
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmserver.dll
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmstyle.dll
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmsxw.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmsxw.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmsynth.dll
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmukc.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmukc.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmusic.dll
Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmutil.dll
Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmvhh.exe
Sat Oct 15 00:28:56 2005 => File C:\WINDOWS\system32\dmvhh.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmview.ocx
Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmvru.exe
Sat Oct 15 00:28:56 2005 => File C:\WINDOWS\system32\dmvru.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmvuy.exe
Sat Oct 15 00:28:56 2005 => File C:\WINDOWS\system32\dmvuy.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:56 2005 => Scanning File C:\WINDOWS\system32\dmxvo.exe
Sat Oct 15 00:28:56 2005 => File C:\WINDOWS\system32\dmxvo.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:32:22 2005 => Scanning File C:\WINDOWS\system32\vdkzr.exe
Sat Oct 15 00:32:22 2005 => File C:\WINDOWS\system32\vdkzr.exe infected by "Trojan.Win32.DNSChanger.aa" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:33:12 2005 => Scanning File C:\WINDOWS\Web\desktop.html
Sat Oct 15 00:33:12 2005 => File C:\WINDOWS\Web\desktop.html infected by "Trojan.Win32.TopAntiSpyware.a" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmgqk.exe
Sat Oct 15 00:28:54 2005 => File C:\WINDOWS\system32\dmgqk.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmime.dll
Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmintf.dll
Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmizl.exe
Sat Oct 15 00:28:54 2005 => File C:\WINDOWS\system32\dmizl.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmkks.exe
Sat Oct 15 00:28:54 2005 => File C:\WINDOWS\system32\dmkks.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmloader.dll
Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmnup.exe
Sat Oct 15 00:28:54 2005 => File C:\WINDOWS\system32\dmnup.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:54 2005 => Scanning File C:\WINDOWS\system32\dmocx.dll
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmplo.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmplo.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmpxx.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmpxx.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmpyv.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmpyv.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.

Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmremote.exe
Sat Oct 15 00:28:55 2005 => Scanning File C:\WINDOWS\system32\dmrko.exe
Sat Oct 15 00:28:55 2005 => File C:\WINDOWS\system32\dmrko.exe infected by "Trojan-Dropper.Win32.Vidro.x" Virus! Action Taken: No Action Taken.



TAGGED

Fri Oct 14 22:06:13 2005 => Scanning File C:\Dokumente und Einstellungen\ram\Desktop\backups\backup-20050919-195456-261.dll
Fri Oct 14 22:06:13 2005 => File C:\Dokumente und Einstellungen\ram\Desktop\backups\backup-20050919-195456-261.dll tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.

Sat Oct 15 00:31:04 2005 => Scanning File C:\WINDOWS\system32\pbmcn.dll
Sat Oct 15 00:31:04 2005 => File C:\WINDOWS\system32\pbmcn.dll tagged as "not-a-virus:AdWare.Win32.SBSoft.h". Action Taken: No Action Taken.



HJT LOGFILE NEU


Logfile of HijackThis v1.99.1
Scan saved at 21:21:53, on 15.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\eMail\Mail.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/245f322aa69067388805/netzip/RdxIE601_de.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{82CD7480-0CE8-46E8-8FC7-A6796655F7C8}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{A12CA277-1D33-4C7A-AC7D-F7EA61255549}: NameServer = 195.95.218.19,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{E792BA6B-A06E-4760-AE0E-C9BD1B5CB77C}: NameServer = 195.95.218.19,85.255.112.6
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 15.10.2005, 20:50   #9
Cidre
Administrator, a.D.
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


Ach komm Chef, warum tust du uns nicht den Gefallen und postest nach Ausführung der Find.bat, die Virus Log Information?
__________________
Gruß, Cidre


Alt 15.10.2005, 20:55   #10
chaosman
 
Bitte dringend um Hilfe!!! - Standard

Bitte dringend um Hilfe!!!


@Chef

http://www.sophos.com/virusinfo/anal...ojsmalloy.html
lade Adaware
und Spybot
beide programme updaten

system und IE updaten auf sp2 bestellen auf CD

beide programme nacheinander scannen lassen, löschen was vorgeschlagen wird.

Alle Funde Teil 2 löschen.

neu booten, neues HJT logfile posten
chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Bitte dringend um Hilfe!!!
adobe, antivirus, askbar, bho, computer, danke, dateien, desktop, dringend, drivers, einstellungen, excel, explorer, google, hijack, hilfe!!, hilfe!!!, internet, internet explorer, log file, microsoft, programme, software, spyware, system, t-online, viren, windows, windows xp, your computer might be at risk


« Bitte LOG prüfen - Seltsames Compi Verhalten | Bitte Log mal überprüfen »


Ähnliche Themen: Bitte dringend um Hilfe!!!


  1. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  2. Hilfe bei Ukash Trojaner! Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 22.01.2012 (1)
  3. Brauche dringend Hilfe bitte
    Mülltonne - 30.11.2008 (0)
  4. Bitte dringend um Hilfe !!!
    Log-Analyse und Auswertung - 19.02.2008 (21)
  5. *** Bitte Dringend Um Hilfe---> V I R E N ***
    Log-Analyse und Auswertung - 31.07.2007 (4)
  6. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  7. Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 31.05.2007 (3)
  8. PC LAG bitte dringend um hilfe
    Plagegeister aller Art und deren Bekämpfung - 04.01.2007 (19)
  9. Bitte dringend um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 15.04.2006 (3)
  10. Bitte dringend um Hilfe !
    Log-Analyse und Auswertung - 23.09.2005 (8)
  11. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  12. Bitte dringend um Hilfe
    Log-Analyse und Auswertung - 02.06.2005 (1)
  13. Bitte dringend um Hilfe
    Log-Analyse und Auswertung - 04.03.2005 (1)
  14. Bitte Dringend Hilfe
    Log-Analyse und Auswertung - 26.02.2005 (27)
  15. Bitte dringend um Hilfe ....
    Log-Analyse und Auswertung - 11.02.2005 (3)
  16. Bitte dringend um Hilfe!!!
    Log-Analyse und Auswertung - 30.01.2005 (1)
  17. Brauche dringend Hilfe - Bitte!!!
    Log-Analyse und Auswertung - 12.10.2004 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte dringend um Hilfe!!! - Hallo, mein PC spinnt seit einigen Wochen. wenn ich z.b. über google auf eine seite will, komm ich plötzlich auf eine ganz andere seite (z.b. adultfriendfinder, porno-search.com und so ein - Bitte dringend um Hilfe!!!...
Archiv
Du betrachtest: Bitte dringend um Hilfe!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131