hilfe ,wie lösche ich die temporary internet files-
alle meine anti viren progs -Zb. Antivir,asquared,xp-antispy usw usw...
brechen sobald sie bei dieser datei sind- vollständig ab-

Purgie - auch ein antispy prog. sagt das die temp dateien gelockt sind??

im hijack this keine Auffälligkeiten -poste ich noch-

sobald ich in die temp gehe mit explorer oder total commander
verschwinden alle desktop symbole und ich sehe nur noch das hintergrundbild

über Extras, internetoptionen usw löschen habe ich natürlich auch schon probiert-ja auch im abgesicherten Modus mit total commander nix zu machen

auch das schon: Loesche Verzeichnis: [Temporary Internet Files]
del /S /Q /F "X:\Dokumente und Einstellungen\UserName\Temporary Internet Files\Content.IE5\*.* "war super umständlich mit null wirkung-

hat alles nix gebracht-?? was nun
was ist das?habt ihr das auch ?
muß ich mein 2 jahre altes backup suchen ?
außerdem ist mein xp Prof. inzwischen fast 4gb dick ?

seh da nix mehr ausser antispy progs?

:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
f:\Programme\PurgeIE\PurgPro_Service.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Registry Mechanic\RegMech.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\totalcmd\TOTALCMD.EXE
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\spydoctor.exe" /Q
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C4356A4D-9E04-4B26-9FA0-9B3D41A6C735} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C4356A4D-9E04-4B26-9FA0-9B3D41A6C735} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFBB0C12-9F00-4BC0-A6C9-FAFFA013836F}: NameServer = 85.255.114.89,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8BE069-FCDD-4DA5-B783-DCB72B55366D}: NameServer = 85.255.114.89 85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF7E262C-8460-4D0E-BBF8-EABB8F1BD0CD}: NameServer = 85.255.114.89,85.255.112.88
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PurgPro XP Service (PurgProService) - Assistance & Resources for Computing, Inc. - f:\Programme\PurgeIE\PurgPro_Service.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe


fertig

Servus!

Zitat:

Geändert von herosero (Gestern um 23:37 Uhr). Grund: unvollständig

Dein Logfile ist immer noch unvollständig - der Kopf fehlt (INfo über BS)
Da ich davon ausgehe, dass Dein ISP nicht in der Ukraine sitzt

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{DFBB0C12-9F00-4BC0-A6C9-FAFFA013836F}: NameServer = 85.255.114.89,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8BE069-FCDD-4DA5-B783-DCB72B55366D}: NameServer = 85.255.114.89 85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF7E262C-8460-4D0E-BBF8-EABB8F1BD0CD}: NameServer = 85.255.114.89,85.255.112.88

schlage ich Dir vor, mal einen kompletten Systemscan zu machen!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
Und ein vollständiges HJT Log aus dem "normalen" Modus nachreichen!
Bis dann, stupormundi

Hallo Stupormundi,

ich gehöre leider auch zu denen, die sich einen Trojaner eingefangen haben (java/blackbox.aa.1) und leider wenig Ahnung haben. Ich habe gesehen, dass du dich ganz gut auskennst. Glaubst du, du könntest mir auch helfen? Das wäre super.

Habe mittlerweile schon mitbekommen, dass man mit HijackThis einen scan machen kann und den hab ich auch schon gemacht (siehe unten)

Könntest du mir verraten, welche Dateien ich genau "fixen" muss?

Vielen Dank schon mal im Vorraus,
Jeannine81

Logfile of HijackThis v1.99.1
Scan saved at 12:51:22, on 09.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\spss_lmd.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\MediaKey\MediaKey.EXE
C:\PROGRA~1\3DMouse\3DMouse.EXE
C:\programme\divx\divx pro codec\gain_trickler_3202.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Bearshare\BearShare.exe
C:\WINNT\system32\internat.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Wundschuh\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\MediaKey\MediaKey.EXE
O4 - HKLM\..\Run: [3DMouse] C:\PROGRA~1\3DMouse\3DMouse.EXE
O4 - HKLM\..\Run: [Trickler] "c:\programme\divx\divx pro codec\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BearShare] "C:\Programme\Bearshare\BearShare.exe" /pause
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINNT\system32\spss_lmd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Servus, Jeannine81!
Der Übersichtlichkeit halber eröffne bitte ein eigenes Thema und poste Dein Logfile dort.
Sonst weiß man nach ein paar Fragen und Antworten nicht mehr, wer auf wessen Problem/Frage antwortet!
stupormundi

Hallo,
@Jeannine81
Bitte nicht in einen fremden Thread reinposten, eröffne einen eigenen(auf "neues Thema" klicken) , und schreibe dort am besten auch gleich rein wo (genauer Pfad) der Virus gefunden wird.

Edit:
zu spät stupormundi, übernehmen sie

Grüße Wildone

Zitat:

Zitat von stupormundi

Servus!
Dein Logfile ist immer noch unvollständig - der Kopf fehlt (INfo über BS)
Da ich davon ausgehe, dass Dein ISP nicht in der Ukraine sitzt
schlage ich Dir vor, mal einen kompletten Systemscan zu machen!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
Und ein vollständiges HJT Log aus dem "normalen" Modus nachreichen!
Bis dann, stupormundi

hallo -erstmal vielen dank das du dich für mein Problem interressierst

habe deine und cidres anweisungen mit AntiVirus Toolkit Utility (MWAV) im

abgesicherten modus ausgeführt -es wurden nach kurzer zeit massenweise

spyware usw gefunden -allerdings anscheinend zu viel! für das programm ,es

beendete sich wie auch alle anderen vorher auch schließlich von alleine-

werde mir dann wohl doch mal sp2 für xp prof besorgen und alles neu machen

sehe keine andere möglichkeit -

Grüsse H

Zitat:

werde mir dann wohl doch mal sp2 für xp prof besorgen und alles neu machen

Sicher keine grundfalsche Idee - mache es aber nach dieser Anleitung http://www.trojaner-board.de/showthread.php?t=12154
Die Zeit zur eventuellen Bereinigung (wenn überhaupt sinnvoll) kannst Du eh besser zur Neuinstallation nutzen - da bist Du wenigstens auf der sicheren Seite.
alles Gute, stupormundi