Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Startseite und Hintergrundbild verändert

Startseite und Hintergrundbild verändert


Log-Analyse und Auswertung: Startseite und Hintergrundbild verändert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.10.2005, 00:27   #1
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Hi,

meine Startseite und auch mein Hintegrundbild haben sich verändert. Kann ich auch nicht zurückändern.
Hat jemand einen Tipp?

Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]
Geändert von GUA (21.10.2005 um 04:21 Uhr)

Alt 21.10.2005, 06:51   #2
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Hi,

meine Startseite und auch mein Hintegrundbild haben sich verändert. Kann ich auch nicht zurückändern.
Hat jemand einen Tipp?

Logfile of HijackThis v1.99.1
Scan saved at 07:46:58, on 21.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchop.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TightVNC\WinVNC.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\shdochop.dll/defaultASX.htm#privacy_API;
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [FH] C:\WINDOWS\system32\svchop.exe home
O4 - HKLM\..\Run: [P.S.Guard] C:\Programme\P.S.Guard\PSGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\jhlkd.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!h**p://elitegate.de/script/ai.chm::/Bridge-c139.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!h**p://elitegate.de/script/ai.chm::/bridge-c293.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111317944718
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**ps://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53952779-CF59-49FF-BF87-7340445546E4}: NameServer = 195.138.36.1,194.77.54.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)
__________________
Alt 21.10.2005, 07:05   #3
stupormundi
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Servus, AchimDo!

Du hast auf jeden Fall Spy/Adware auf Deinem Sys - dazu aber später!
Lass´ zuerst diese Datei
Zitat:
C:\WINDOWS\system32\svchop.exe
bei Jotti virusscan.jotti.org/de checken und poste dann das Ergebnis. Solltest Du eine Fehlermeldung (0bytes...) bekommen, beende den dazugehörenden laufenden Prozess und/oder deaktiviere temporär Deine FW. Sollte das alles nichts nutzen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit!
Der Grund für Deine Probleme ist u.a. hierin zu finden
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 07:46:58, on 21.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
in einem nicht aktuellen Betriebssystem
bis dann, stupormundi
__________________
__________________
Alt 21.10.2005, 07:27   #4
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Hab ich gemacht. Wie gehts weiter?

Auslastung: 0% 100%

Datei: svchop.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir Trojan/Dldr.Delf.KS.2 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender BehavesLike:Trojan.StartPage gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web STPAGE.Trojan gefunden (mögliche Variante)
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Delf.ks gefunden
NOD32 a variant of Win32/TrojanDownloader.Delf.KS gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Alt 21.10.2005, 07:41   #5
stupormundi
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Servus, AchimDo!
Arbeite mal diesen link http://www.trojaner-board.de/showthread.php?t=21709 durch und poste anschließend die zitierten logs (C:\smitfiles.txt, escan logfile, neues HJT)
Lösche anschließend, falls noch vorhanden ebenfalls im abgesicherten Modus die Datei
Zitat:
C:\WINDOWS\system32\svchop.exe
Wird Dich einigeZeit in Anspruch nehmen,
viel Glück
stupormundi

__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 21.10.2005, 19:43   #6
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Alles so gemacht, hier zunächst der smitflie

smitfiles.txt
-------------

smitRem log file
version 2.7

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key present!



Running LTDFix/PSGuard.com fix!



PSGuard.com key was successfully removed!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

P.S.Guard


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

uninstIU.exe


~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!

Alt 21.10.2005, 19:44   #7
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


und escan:

escan-logfile
-------------


Fr Okt 21 18:22:03 2005 => ******************************************************************
Fr Okt 21 18:22:03 2005 => eScan for Windows.
Fr Okt 21 18:22:03 2005 => Copyright © 2004-2005, MicroWorld Technologies Inc.
Fr Okt 21 18:22:03 2005 => Support: support@mwti.net
Fr Okt 21 18:22:03 2005 => Web: h**p://www.mwti.net
Fr Okt 21 18:22:03 2005 => ******************************************************************
Fr Okt 21 18:22:03 2005 => Version 1.27
Fr Okt 21 18:22:03 2005 => LogFile: C:\PROGRA~1\eScan\Log\21100000.log
Fr Okt 21 18:22:03 2005 =>
Fr Okt 21 18:22:03 2005 => Heuristics: On
Fr Okt 21 18:22:03 2005 => Packed files: On
Fr Okt 21 18:22:03 2005 => System areas: On
Fr Okt 21 18:22:03 2005 => Archived files: On
Fr Okt 21 18:22:03 2005 => Calculate Analysis: On
Fr Okt 21 18:22:03 2005 => Action specified in case of an infection: Automatic
Fr Okt 21 18:22:03 2005 =>
Fr Okt 21 18:24:45 2005 => ***** Checking system areas *****
Fr Okt 21 18:25:47 2005 =>
Fr Okt 21 18:25:47 2005 => ***** Checking selected directories and files *****

...

Fr Okt 21 18:34:33 2005 => Scanning File C:\Dokumente und Einstellungen\Joachim\Eigene Dateien\svchop.exe
...den hatte ich vorher dahin verschoben

Fr Okt 21 18:34:33 2005 => File Infected with "Trojan-Downloader.Win32.Delf.ks". Action Taken: File deleted!

...

Fr Okt 21 19:36:00 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\0092355C.tmp
Fr Okt 21 19:36:00 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:00 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\00DF3EA3.tmp
Fr Okt 21 19:36:01 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:01 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\00E5129C.tmp
Fr Okt 21 19:36:01 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:01 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\020F1F22.exe
Fr Okt 21 19:36:01 2005 => File Infected with "Trojan-Downloader.Win32.VB.ka". Action Taken: File deleted!
Fr Okt 21 19:36:01 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\04657EBC.tmp
Fr Okt 21 19:36:01 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:01 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\07EB7898.tmp
Fr Okt 21 19:36:01 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:02 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\07F9208A.tmp
Fr Okt 21 19:36:02 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:02 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\08021E7F.tmp
Fr Okt 21 19:36:02 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:02 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\0A215BDB.tmp
Fr Okt 21 19:36:02 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:02 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\0ECF4A29.tmp
Fr Okt 21 19:36:02 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:03 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\10000AB0.tmp
Fr Okt 21 19:36:03 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:03 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\142754F6.dll
Fr Okt 21 19:36:03 2005 => File Infected with "Trojan-Downloader.Win32.Dyfuca.gen". Action Taken: File deleted!
Fr Okt 21 19:36:03 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\17F9080D.tmp
Fr Okt 21 19:36:03 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:03 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\18070A21.exe
Fr Okt 21 19:36:04 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.ij". Action Taken: File deleted!
Fr Okt 21 19:36:04 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\1E232D8B.tmp
Fr Okt 21 19:36:04 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:04 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\1E347F79.tmp
Fr Okt 21 19:36:04 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:04 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\1FB710F5.dll
Fr Okt 21 19:36:04 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\1FB710F5.dll with not-a-virus:AdWare.Win32.MyTool.b No Action Taken!
Fr Okt 21 19:36:04 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\219342A5.tmp
Fr Okt 21 19:36:04 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:05 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\28F20C3E.tmp
Fr Okt 21 19:36:05 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:05 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\2C5345CF.dll
Fr Okt 21 19:36:05 2005 => File Infected with "Virus.Win32.Nsag.b". Action Taken: Virus removed!
Fr Okt 21 19:36:05 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\2C576FCB.exe
Fr Okt 21 19:36:05 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\2C576FCB.exe with not-a-virus:AdWare.Win32.Raze.a No Action Taken!
Fr Okt 21 19:36:05 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\2C6417BD.exe
Fr Okt 21 19:36:06 2005 => File Infected with "Trojan-Downloader.Win32.Small.bho". Action Taken: File deleted!
Fr Okt 21 19:36:06 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\2E2F25A1.tmp
Fr Okt 21 19:36:06 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:06 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\301B11E4.tmp
Fr Okt 21 19:36:06 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:06 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\30C977B1.exe
Fr Okt 21 19:36:06 2005 => File Infected with "Trojan-Dropper.Win32.Agent.ta". Action Taken: File deleted!
Fr Okt 21 19:36:06 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\34D12FA6.tmp
Fr Okt 21 19:36:06 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:06 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\34F57D7E.tmp
Fr Okt 21 19:36:07 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:07 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\35022570.tmp
Fr Okt 21 19:36:07 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:07 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\38513B07.tmp
Fr Okt 21 19:36:07 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:07 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\3AA127C6.tmp
Fr Okt 21 19:36:07 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:07 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\3B4D377B.tmp
Fr Okt 21 19:36:08 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:08 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\3B866F58.tmp
Fr Okt 21 19:36:08 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:08 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\3D2B44A9.tmp
Fr Okt 21 19:36:08 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3D2B44A9.tmp is Suspicious
Fr Okt 21 19:36:08 2005 => File Infected with "Exploit.HTML.Mht". Action Taken: File renamed!
Fr Okt 21 19:36:08 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\3EDA6ACF.tmp
Fr Okt 21 19:36:08 2005 => File C:\Programme\Norton AntiVirus\Quarantine\3EDA6ACF.tmp is Suspicious
Fr Okt 21 19:36:08 2005 => File Infected with "Exploit.HTML.Mht". Action Taken: File renamed!
Fr Okt 21 19:36:08 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\42CE3AF8.exe
Fr Okt 21 19:36:08 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.jr". Action Taken: File deleted!
Fr Okt 21 19:36:08 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\44FC1716.tmp
Fr Okt 21 19:36:09 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:09 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\45280659.tmp
Fr Okt 21 19:36:09 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:09 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\47F7049D.tmp
Fr Okt 21 19:36:09 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:09 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\4D3E43FE.tmp
Fr Okt 21 19:36:09 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:09 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\4D5913E2.tmp
Fr Okt 21 19:36:10 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:10 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\4F0F0C6F.tmp
Fr Okt 21 19:36:10 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:10 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\51A929F2.tmp
Fr Okt 21 19:36:10 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:10 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\53EC621B.tmp
Fr Okt 21 19:36:10 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:10 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\568D69E7.tmp
Fr Okt 21 19:36:10 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:11 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\57BB1AC6.tmp
Fr Okt 21 19:36:11 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:11 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\583A192B.dll
Fr Okt 21 19:36:11 2005 => File Infected with "Trojan-Downloader.Win32.Dyfuca.dt". Action Taken: File deleted!
Fr Okt 21 19:36:11 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\59EF32F5.exe
Fr Okt 21 19:36:11 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.jm". Action Taken: File deleted!
Fr Okt 21 19:36:11 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\5B9B2F0B.tmp
Fr Okt 21 19:36:11 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:12 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\5C314468.tmp
Fr Okt 21 19:36:12 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:12 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\5C421656.tmp
Fr Okt 21 19:36:12 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:12 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\5D6E3332.tmp
Fr Okt 21 19:36:12 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:12 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\5F29779E.tmp
Fr Okt 21 19:36:12 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:13 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\60265D33.tmp
Fr Okt 21 19:36:13 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:13 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\60DA5EBD.tmp
Fr Okt 21 19:36:13 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:13 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\61233A01.tmp
Fr Okt 21 19:36:13 2005 => File Infected with "Email-Worm.Win32.NetSky.y". Action Taken: File deleted!
Fr Okt 21 19:36:13 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\626B088E.exe
Fr Okt 21 19:36:13 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\626E328A.dll
Fr Okt 21 19:36:14 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\626E328A.dll with not-a-virus:AdWare.Win32.WinAD.bm No Action Taken!
Fr Okt 21 19:36:14 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62715C87.dll
Fr Okt 21 19:36:14 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62715C87.exe
Fr Okt 21 19:36:14 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\62715C87.exe with not-a-virus:AdWare.Win32.WinAD.k No Action Taken!
Fr Okt 21 19:36:14 2005 => C:\Programme\Norton AntiVirus\Quarantine\62740683.cab ***** File having Scanning Restriction *****
Fr Okt 21 19:36:14 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62740683.exe
Fr Okt 21 19:36:14 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.jr". Action Taken: File deleted!
Fr Okt 21 19:36:14 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\6278307F.exe
Fr Okt 21 19:36:14 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.gen". Action Taken: File deleted!
Fr Okt 21 19:36:14 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\627B5A7C.exe
Fr Okt 21 19:36:15 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\627B5A7C.exe with not-a-virus:AdWare.Win32.WinAD.at No Action Taken!
Fr Okt 21 19:36:15 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\627E0478.dll
Fr Okt 21 19:36:15 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\627E0478.dll with not-a-virus:AdWare.Win32.WinAD.ak No Action Taken!
Fr Okt 21 19:36:15 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\627E0478.exe
Fr Okt 21 19:36:15 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\627E0478.exe with not-a-virus:AdWare.Win32.WinAD.au No Action Taken!
Fr Okt 21 19:36:15 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62812E75.dll
Fr Okt 21 19:36:15 2005 => File Infected with "Trojan-Downloader.Win32.Dyfuca.gen". Action Taken: File deleted!
Fr Okt 21 19:36:15 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62812E75.exe
Fr Okt 21 19:36:15 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\62812E75.exe with not-a-virus:AdWare.Win32.BargainBuddy.n No Action Taken!
Fr Okt 21 19:36:15 2005 => C:\Programme\Norton AntiVirus\Quarantine\62855871.cab ***** File having Scanning Restriction *****
Fr Okt 21 19:36:15 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62855871.dll
Fr Okt 21 19:36:16 2005 => Result: File C:\Programme\Norton AntiVirus\Quarantine\62855871.dll with not-a-virus:AdWare.Win32.MyTool.b No Action Taken!
Fr Okt 21 19:36:16 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\62855871.exe
Fr Okt 21 19:36:16 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.jm". Action Taken: File deleted!
Fr Okt 21 19:36:16 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\6288026D.dll
Fr Okt 21 19:36:16 2005 => File Infected with "Trojan-Downloader.Win32.IstBar.gen". Action Taken: File deleted!
Fr Okt 21 19:36:16 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\668011ED.tmp
Fr Okt 21 19:36:16 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:16 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\66890FE3.tmp
Fr Okt 21 19:36:16 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:17 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\67ED58A6.tmp
Fr Okt 21 19:36:17 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:17 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\6D9416BE.exe
Fr Okt 21 19:36:17 2005 => File Infected with "Trojan-Downloader.Win32.VB.ka". Action Taken: File deleted!
Fr Okt 21 19:36:17 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\6EC32BB4.tmp
Fr Okt 21 19:36:17 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:17 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\71286AC2.tmp
Fr Okt 21 19:36:18 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:18 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7477444B.tmp
Fr Okt 21 19:36:18 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:18 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\74866A7F.tmp
Fr Okt 21 19:36:18 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:18 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\74963C6D.tmp
Fr Okt 21 19:36:18 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:18 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\749A666A.tmp
Fr Okt 21 19:36:19 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:19 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\74A03A63.tmp
Fr Okt 21 19:36:19 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:19 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\756E6611.tmp
Fr Okt 21 19:36:19 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:19 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\75B908A0.tmp
Fr Okt 21 19:36:19 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:19 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\782E288C.exe
Fr Okt 21 19:36:20 2005 => File Infected with "Trojan-Downloader.Win32.PurityScan.u". Action Taken: File deleted!
Fr Okt 21 19:36:20 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7B5E2018.tmp
Fr Okt 21 19:36:20 2005 => File C:\Programme\Norton AntiVirus\Quarantine\7B5E2018.tmp is Suspicious
Fr Okt 21 19:36:20 2005 => File Infected with "Exploit.HTML.Mht". Action Taken: File renamed!
Fr Okt 21 19:36:20 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7C531A7E.tmp
Fr Okt 21 19:36:20 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:20 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7D065CF9.exe
Fr Okt 21 19:36:20 2005 => File Infected with "Trojan-Downloader.Win32.Adload.a". Action Taken: File deleted!
Fr Okt 21 19:36:20 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7F8253DB.tmp
Fr Okt 21 19:36:20 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:21 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7FC71FD1.tmp
Fr Okt 21 19:36:21 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!
Fr Okt 21 19:36:21 2005 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7FE43F70.tmp
Fr Okt 21 19:36:21 2005 => File Infected with "Email-Worm.Win32.Sober.p". Action Taken: File deleted!

...

Fr Okt 21 20:04:41 2005 => ***** Scanning Completed. *****
Fr Okt 21 20:04:41 2005 =>
Fr Okt 21 20:04:41 2005 => Total Number of Files Scanned: 90779
Fr Okt 21 20:04:41 2005 => Total Number of Files Infected: 79
Fr Okt 21 20:04:41 2005 => Total Number of Files Disinfected: 1
Fr Okt 21 20:04:41 2005 => Total Number of Files Renamed: 3
Fr Okt 21 20:04:41 2005 => Total Number of Files Deleted: 75
Fr Okt 21 20:04:41 2005 => Total Number of Errors: 0
Fr Okt 21 20:04:41 2005 => Time Elapsed:: 01:39:55

Alt 21.10.2005, 19:45   #8
AchimDo
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


und der neue HJT


HIJ
---

Logfile of HijackThis v1.99.1
Scan saved at 20:38:15, on 21.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\UltraEdit\UEDIT32.EXE
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcrobatInfo.exe
C:\Dokumente und Einstellungen\Joachim\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.klamm.de/partner/velerion.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111317944718
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - h**ps://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53952779-CF59-49FF-BF87-7340445546E4}: NameServer = 195.138.36.1,194.77.54.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Alt 27.10.2005, 06:49   #9
stupormundi
 
Startseite und Hintergrundbild verändert - Standard

Startseite und Hintergrundbild verändert


Servus, AchimDO!
Zitat:
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
Wer hat denn dieses Programm installiert - ein Fernzugriff/wartungstool [WinVNC is an application that allows you to remote control your PC from another PC somewhere on the internet]
Außerdem ist die Liste der Funde, welche sich ja bereits in der Quarantäne von Norton befunden haben, nicht ohne: Unter anderem der Email-Worm.Win32.NetSky.y
Zitat:
Remote administration
The worm opens port 82 and tracks port activity. The backdoor function makes it possible for files to be downloaded onto the victim machine.
Alleine das Vorhandensein dieses Fundes läßt mich Dir raten, dieser Anleitung http://www.trojaner-board.de/showthread.php?t=12154 zu folgen und Dein System neu aufzusetzen. Auch wenn der Wurm entfernt zu sein scheint, kannst Du Dir nicht sicher sein, ob nicht schon längst etwas besser versteckt läuft.
Der Win32.Delf.ks wird bei Sophos http://www.sophos.com/virusinfo/anal...jbckdrccr.html ebenfalls als Backdoor beschrieben!
Auch bei den anderen Funden weißt Du letztlich nie, was die wirklich noch nachholen!
Also: als einzig sicheren Rat kann ich Dir nur das neu Aufsetzen empfehlen. Achte danach darauf, dass Dein System immer aktuell bleibt (alle Servicepacks vor dem ersten Einstieg ins Internet), zusätzlich nicht jedes Mailattachment anklicken (zB. SoberP-Klassentreffen), überhaupt einen alternativen Browser (FF oder Opera) und einen alternativen Mailclient (Thunderbird) - natürlich auch die immer aktuell halten - verwenden.
Alles Gute, stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu Startseite und Hintergrundbild verändert
angezeigt, black, danke, editiere, hijack, hijackthis, hintergrundbild, links, seite, startseite, verändert


« Troj-SpyDldr-B absolut am Ende mit Ideen | Bitte log-file auswerten »


Ähnliche Themen: Startseite und Hintergrundbild verändert


  1. Windows 8, Firefox-Startseite verändert und komische Toolbar nach Installation von FileZilla
    Log-Analyse und Auswertung - 08.04.2015 (9)
  2. Startseite verändert, falsche Seiten öffnen sich 22find...
    Log-Analyse und Auswertung - 24.04.2014 (5)
  3. http://www.searchnu.com/410 - Startseite wurde im Brouwser verändert!
    Log-Analyse und Auswertung - 23.04.2012 (9)
  4. IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (11)
  5. IE startseite verändert und virusmeldung
    Plagegeister aller Art und deren Bekämpfung - 24.08.2008 (3)
  6. Startseite hat sich plötzlich verändert
    Log-Analyse und Auswertung - 01.10.2006 (6)
  7. Startseite wurde verändert, hier die einfachste Lösung
    Plagegeister aller Art und deren Bekämpfung - 30.10.2005 (6)
  8. Startseite verändert
    Mülltonne - 20.09.2005 (4)
  9. Auch bei mir Startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 08.02.2005 (4)
  10. Toolbar und Startseite verändert
    Log-Analyse und Auswertung - 16.01.2005 (4)
  11. Startseite verändert, popups und Seiten öffnen sich willkürlich
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (12)
  12. startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (1)
  13. Startseite meines Internet Explorers verändert!!!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (5)
  14. werbung in der iexplorer-leiste, popup, startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 24.10.2004 (7)
  15. HiJackThis Log von Chiara (Startseite verändert sich)
    Log-Analyse und Auswertung - 02.09.2004 (7)
  16. IE Startseite wird verändert
    Plagegeister aller Art und deren Bekämpfung - 15.05.2004 (52)
  17. Hilfe!! Startseite IE wird verändert
    Plagegeister aller Art und deren Bekämpfung - 22.04.2004 (43)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Startseite und Hintergrundbild verändert - Hi, meine Startseite und auch mein Hintegrundbild haben sich verändert. Kann ich auch nicht zurückändern. Hat jemand einen Tipp? Logfile of HijackThis v1.99.1 [edit] bitte editiere deine links, wie es - Startseite und Hintergrundbild verändert...
Archiv
Du betrachtest: Startseite und Hintergrundbild verändert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55