|
Plagegeister aller Art und deren Bekämpfung: VIRUS kommt nach löschen immer wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.05.2008, 11:13 | #1 |
| VIRUS kommt nach löschen immer wieder hallo, folgendes ist passiert: ich habe mir im internet einen virus eingefangen. jedesmal, wenn ich eine einzige bestimmte internetseite aufrufe (vorher nie probleme mit dieser seite gehabt), kommt ein virusalarm von antivir. der virus schreibt sich bei mozilla in die application data (genauer pfad: c/benutzer/tim/appdata/local/mozilla/firefox/profiles/50rkqd5j.default/cache/DB410FF0d01 , letztes die von antivir gefundene datei) das gleiche geschieht auch beim internet explorer (hier liegt er dann in den temporary internet files, pfad: c/benutzer/tim/appdata/local/microsoft/windows/temporary internet files/low/content.IE5/v9v6nqnx/index[1].htm) ich habe ihn mit antivir gelöscht und auch schon in quarantäne verschoben. ich habe spybot drüberlaufen lassen, desweiteren habe ich mit clear prog sämtliche tempöraren dateien und alles was mit inet explorer oder mozilla zusammenhängt gelöscht. alles hilft nichts: bei jedem öffnen von mozilla oder inetexplorer auf dieser seite kommt die virusmeldung. da es eine heur/html.malware ist, habe ich die möglichkeit in betracht gezogen, dass es sich um einen fehlalarm handeln könnte. dem ist aber nicht der fall. ein weiteres gegenargument dafür ist außerdem, dass die dateien immer mehr werden, er müllt sich also langsam selber zu. was mich noch unruhig macht ist, dass allmähliche dateien versteckt werden. zum beispiel sind word dateien auf meinem desktop mittlerweile versteckt, also transparent. hier ist noch die HijackThis scan datei: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:06:41, on 25.05.2008 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16643) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Windows\System32\rundll32.exe C:\Program Files\iTunesHelper.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe C:\Windows\system32\igfxsrvc.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Eraser\Eraser.exe C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunesHelper.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O13 - Gopher Prefix: O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 8851 bytes ich bin mit meinem latein am ende und krieg langsam angst:S ich würd mich wirklich freuen, wenn sich jmd. findet der mir einen tipp geben kann. hab mich im inet informiert und die genannten aktionen ausgeführt aber iwie hilft es rein gar nix... HILFE |
25.05.2008, 11:31 | #2 | ||
/// TB-Ausbilder | VIRUS kommt nach löschen immer wieder Hi.
__________________Schick mir bitte mal den Link zu der entsprechenden Seite per PM. Dein Log ist eigentlich sauber, folgende Einträge können gefixt werden: Zitat:
Du hast außerdem noch Reste von Symantec aufm Rechner: Zitat:
lg myrtille
__________________ |
25.05.2008, 13:04 | #3 |
| VIRUS kommt nach löschen immer wieder hallo,
__________________schonmal danke für die antwort, hab die entsprechenden sachen gelöscht.. ja die poker programme habe ich selber installiert..party poker nutze ich nciht mehr, aber poker stars schon..is das in ordnung:S? die internetseite ist: **** Geändert von Sunny (25.05.2008 um 15:54 Uhr) Grund: schädlicher Link entfernt! |
25.05.2008, 14:42 | #4 |
| VIRUS kommt nach löschen immer wieder Nimm mal den Link aus deinem Posting. Nicht das noch jemand ueber das dort eingeschleuste Exploit infiziert wird!
__________________ MfG Ralf |
25.05.2008, 15:43 | #5 |
/// TB-Ausbilder | VIRUS kommt nach löschen immer wieder Hi, die PartyPokersachen kommen häufig ungefragt auf den Rechner, deswegen fragte ich. An sich sind sie nicht gefährlich. Raman war so freundlich die genannte Webseite zu überprüfen und die Seite ist in der Tat infiziert. Ich würde dich daher bitte mir einen DSS-Log (bitte daran denken, die Links zu editieren. )zu posten um zu schauen, ob du infiziert wurdest. DSS
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.05.2008, 18:00 | #6 |
| VIRUS kommt nach löschen immer wieder hallo, sorry wegen dem link... nach der dss prüfung: extra.txt: Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft® Windows Vista™ Home Premium (build 6000) Architecture: X86; Language: German CPU 0: Genuine Intel(R) CPU T2060 @ 1.60GHz Percentage of Memory in Use: 64% Physical Memory (total/avail): 1013.44 MiB / 356.67 MiB Pagefile Memory (total/avail): 2277.89 MiB / 1319.8 MiB Virtual Memory (total/avail): 2047.88 MiB / 1932.28 MiB C: is Fixed (NTFS) - 74.22 GiB total, 45.9 GiB free. E: is Fixed (NTFS) - 73.36 GiB total, 65.11 GiB free. F: is CDROM (UDF) \\.\PHYSICALDRIVE0 - FUJITSU MHV2160BT PL ATA Device - 149.05 GiB - 3 partitions \PARTITION0 - Unknown - 1500 MiB \PARTITION1 (bootable) - Installierbares Dateisystem - 74.22 GiB - C: \PARTITION2 - Installierbares Dateisystem - 73.36 GiB - E: -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. Windows Internal Firewall is enabled. AV: Avira AntiVir PersonalEdition v8.0.1.15 (Avira GmbH) AS: Avira AntiVir PersonalEdition v 7.0.3.158 (Avira GmbH) AS: Spybot - Search and Destroy v1.0.0.5 (Safer Networking Ltd.) Outdated AS: Windows-Defender v1.1.1505.0 (Microsoft Corporation) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\ProgramData APPDATA=C:\Users\Tim\AppData\Roaming CLASSPATH=.;C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=TIM-PC ComSpec=C:\Windows\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Users\Tim LOCALAPPDATA=C:\Users\Tim\AppData\Local LOGONSERVER=\\TIM-PC NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Program Files\Common Files\Ulead Systems\MPEG;C:\Program Files\QuickTime\QTSystem\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 12, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0e0c ProgramData=C:\ProgramData ProgramFiles=C:\Program Files PROMPT=$P$G PUBLIC=C:\Users\Public QTJAVA=C:\Program Files\Java\jre1.6.0\lib\ext\QTJava.zip SystemDrive=C: SystemRoot=C:\Windows TEMP=C:\Users\Tim\AppData\Local\Temp TMP=C:\Users\Tim\AppData\Local\Temp USERDOMAIN=Tim-PC USERNAME=Tim USERPROFILE=C:\Users\Tim windir=C:\Windows -- User Profiles --------------------------------------------------------------- Tim -- Add/Remove Programs --------------------------------------------------------- --> "C:\Program Files\InstallShield Installation Information\{A644254B-92F6-4970-8635-AB0775371E72}\setup.exe" --u:{A644254B-92F6-4970-8635-AB0775371E72} --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{622E6F16-0904-49B6-BBE1-4CC836314CCF}\setup.exe" -l0x7 --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{697AFC77-F318-4CD4-BF16-F50F4C1072DA}\setup.exe" -l0x7 ABC Amber Audio Converter --> C:\PROGRA~1\ABCAMB~1\UNWISE.EXE C:\PROGRA~1\ABCAMB~1\INSTALL.LOG Adobe Flash Player ActiveX --> C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player Plugin --> C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543} Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4} Atheros-Treiberinstallationsprogramm --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\Setup.exe" -l0x7 -removeonly Avira AntiVir Personal – Free Antivirus --> C:\Program Files\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE Bluetooth Stack for Windows by Toshiba --> MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6} CD/DVD Drive Acoustic Silencer --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}\setup.exe" -l0x7 ClearProg 1.4.2 Beta 13 --> C:\Program Files\ClearProg\Uninstall.exe Disc2Phone --> MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9} DVD MovieFactory for TOSHIBA --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F214EAA4-A069-4BAF-9DA4-4DB8BEEDE485}\setup.exe" -l0x7 Eraser --> "C:\ProgramData\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe" REMOVE=TRUE MODIFY=FALSE Eraser --> C:\ProgramData\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646}\EraserSetup32.exe Free WMA to MP3 Converter 1.08 --> "C:\Program Files\Free WMA to MP3 Converter\unins000.exe" Free YouTube to Mp3 Converter version 2.5 --> "C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\unins000.exe" FUSSBALL MANAGER 2002 --> C:\Windows\unin0407.exe -f"e:\tim\games\fm 02\DeIsL1.isu" Google Earth --> MsiExec.exe /I{407B9B5C-DAC5-4F44-A756-B57CAB4E6A8B} HijackThis 2.0.2 --> "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall Intel(R) Graphics Media Accelerator Driver --> C:\Windows\system32\igxpun.exe -uninstall IrfanView (remove only) --> C:\Program Files\IrfanView\iv_uninstall.exe iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138} Java(TM) SE Runtime Environment 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160000} LiveUpdate 3.2 (Symantec Corporation) --> "C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U Messenger Plus! Live --> "C:\Program Files\Messenger Plus! Live\Uninstall.exe" Microsoft .NET Framework 1.1 --> msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1 --> MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} Microsoft .NET Framework 1.1 Hotfix (KB929729) --> "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\Windows\Microsoft.NET\Framework\v1.1.4322\Updates\M929729\M929729Uninstall.msp" Microsoft Flight Simulator 2004 - Das Jahrhundert der Luftfahrt --> "C:\Program Files\Microsoft Games\Flight Simulator 9\UNINSTAL.EXE" /runtemp /addremove Microsoft Office Access MUI (German) 2007 --> MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE} Microsoft Office Excel MUI (German) 2007 --> MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE} Microsoft Office InfoPath MUI (German) 2007 --> MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE} Microsoft Office Outlook MUI (German) 2007 --> MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE} Microsoft Office PowerPoint MUI (German) 2007 --> MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE} Microsoft Office Professional Plus 2007 --> "C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUSR /dll OSETUP.DLL Microsoft Office Professional Plus 2007 --> MsiExec.exe /X{91120000-0011-0000-0000-0000000FF1CE} Microsoft Office Proof (English) 2007 --> MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE} Microsoft Office Proof (French) 2007 --> MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE} Microsoft Office Proof (German) 2007 --> MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE} Microsoft Office Proof (Italian) 2007 --> MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE} Microsoft Office Proofing (German) 2007 --> MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE} Microsoft Office Publisher MUI (German) 2007 --> MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE} Microsoft Office Shared MUI (German) 2007 --> MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE} Microsoft Office Word MUI (German) 2007 --> MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE} Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Mozilla Firefox (2.0.0.14) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe MSXML 4.0 SP2 (KB927978) --> MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181) --> MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB941833) --> MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF} NVIDIA Drivers --> C:\Windows\system32\NVUNINST.EXE UninstallGUI OpenOffice.org 2.2 --> MsiExec.exe /I{E4C7B3EF-B3DB-4BB6-A812-E8FAE47534D3} PokerStars --> "C:\Program Files\PokerStars\PokerStarsUninstall.exe" /u:PokerStars QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067} Realtek High Definition Audio Driver --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7 -removeonly Security Update for Excel 2007 (KB946974) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {85E83E2E-AF9B-439B-B4F9-EB9B7EF6A00E} Security Update for Microsoft Office Publisher 2007 (KB950114) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85} Security Update for Microsoft Office system 2007 (KB951808) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {8F375E11-4FD6-4B89-9E2B-A76D48B51E00} Security Update for Microsoft Office Word 2007 (KB950113) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {AD72BABE-C733-4FCF-9674-4314466191B9} Security Update for Office 2007 (KB947801) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {02B5A17B-01BE-4BA6-95F1-1CBB46EBC76E} Security Update for Outlook 2007 (KB946983) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3} Security Update for Visio 2007 (KB947590) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {6BAD036C-261F-4BEF-96CF-C20678D07A41} Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Spybot - Search & Destroy --> "C:\Program Files\Spybot - Search & Destroy\unins000.exe" Synaptics Pointing Device Driver --> rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall Texas Instruments PCIxx21/x515/xx12 drivers. --> C:\Program Files\InstallShield Installation Information\{F7B05784-334C-4F76-8BAB-30ABEB7FD534}\setup.exe -runfromtemp -l0x0407 TOSHIBA Assist --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{12B3A009-A080-4619-9A2A-C6DB151D8D67}\setup.exe" -l0x7 TOSHIBA Benutzerhandbücher --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CD90E059-509B-4AEB-8ADA-E9A6C7645671}\setup.exe" -l0x7 -removeonly TOSHIBA ConfigFree --> C:\Program Files\InstallShield Installation Information\{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}\setup.exe -runfromtemp -l0x0007uninstall -removeonly TOSHIBA Disc Creator --> MsiExec.exe /I{5DA0E02F-970B-424B-BF41-513A5018E4C0} TOSHIBA Extended Tiles for Windows Mobility Center --> C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\1150\INTEL3~1\IDriver.exe /M{617C36FD-0CBE-4600-84B2-441CEB12FADF} /l1031 TOSHIBA Hardware Setup --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B77A308F-85F5-4D68-8CB5-313332CB2779}\setup.exe" -l0x7 Toshiba Online Product Information --> C:\Program Files\InstallShield Installation Information\{2290A680-4083-410A-ADCC-7092C67FC052}\setup.exe -runfromtemp -l0x0007 -removeonly TOSHIBA SD Memory Utilities --> MsiExec.exe /X{EBFF48F5-3CFA-436F-8FD5-94FB01D3A0A7} TOSHIBA Software Modem --> Tosmreg -U TOSHIBA Supervisor Password --> RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{74892A2F-57B2-48E4-81C3-1E21E12A470B}\setup.exe" -l0x7 TOSHIBA Value Added Package --> C:\Program Files\InstallShield Installation Information\{FEDD27A0-B306-45EF-BF58-B527406B42C8}\setup.exe -runfromtemp -l0x0407 Uninstall 1.0.0.0 --> "C:\Program Files\Common Files\DVDVideoSoft\unins000.exe" Update for Office 2007 (KB946691) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278} Update for Outlook 2007 Junk Email Filter (kb950378) --> msiexec /package {91120000-0011-0000-0000-0000000FF1CE} /uninstall {F6296086-AED5-4EC0-938B-08EA0254F20E} Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220} Windows Media Encoder 9-Reihe --> msiexec.exe /I {E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} Windows Media Encoder 9-Reihe --> MsiExec.exe /I{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E} WinDVD for TOSHIBA --> C:\Program Files\InstallShield Installation Information\{20471B27-D702-4FE8-8DEC-0702CC8C0A85}\setup.exe -runfromtemp -l0x0407 WinRAR --> C:\Program Files\WinRAR\uninstall.exe -- Application Event Log ------------------------------------------------------- Event Record #/Type41087 / Warning Event Submitted/Written: 05/25/2008 06:50:30 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe Event Record #/Type41085 / Warning Event Submitted/Written: 05/25/2008 06:50:29 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe Event Record #/Type41084 / Warning Event Submitted/Written: 05/25/2008 06:50:02 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe Event Record #/Type41083 / Warning Event Submitted/Written: 05/25/2008 06:49:50 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe Event Record #/Type41082 / Warning Event Submitted/Written: 05/25/2008 06:49:05 PM Event ID/Source: 4113 / Avira AntiVir Event Description: HIDDENEXT/CryptedC:\Program Files\Trend Micro\HijackThis\pruefung1.com.exe -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type106994 / Error Event Submitted/Written: 05/25/2008 06:39:10 PM Event ID/Source: 7026 / Service Control Manager Event Description: Tosrfcom Event Record #/Type106957 / Error Event Submitted/Written: 05/25/2008 06:39:08 PM Event ID/Source: 7000 / Service Control Manager Event Description: Parallel port driver%%1058 Event Record #/Type106913 / Warning Event Submitted/Written: 05/25/2008 06:38:29 PM Event ID/Source: 4 / E100B Event Description: Adapter Intel(R) PRO/100 VE-Netzwerkverbindung: Adapterverbindung ist getrennt. Event Record #/Type106905 / Warning Event Submitted/Written: 05/25/2008 03:58:39 PM Event ID/Source: 4001 / Microsoft-Windows-WLAN-AutoConfig Event Description: Event Record #/Type106898 / Error Event Submitted/Written: 05/25/2008 03:58:25 PM Event ID/Source: 10010 / DCOM Event Description: {C2BFE331-6739-4270-86C9-493D9A04CD38} -- End of Deckard's System Scanner: finished at 2008-05-25 18:53:19 ------------ |
25.05.2008, 18:02 | #7 |
| VIRUS kommt nach löschen immer wieder und die main.txt: Deckard's System Scanner v20071014.68 Run by Tim on 2008-05-25 18:47:26 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- Last 5 Restore Point(s) -- 6: 2008-05-25 13:43:33 UTC - RP335 - Geplanter Prüfpunkt 5: 2008-05-24 15:25:10 UTC - RP334 - Geplanter Prüfpunkt 4: 2008-05-23 11:00:08 UTC - RP333 - Windows Update 3: 2008-05-22 17:33:49 UTC - RP332 - Removed Safari 2: 2008-05-22 17:31:32 UTC - RP331 - Removed Google Toolbar for Internet Explorer -- First Restore Point -- 1: 2008-05-22 17:29:30 UTC - RP330 - Configured AVerTV USB 2.0 Driver Backed up registry hives. Performed disk cleanup. Total Physical Memory: 1014 MiB (1024 MiB recommended). -- HijackThis (run as Tim.exe) ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 [edit] Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 Danke. Sunny [/edit] -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- S3 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\program files\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> R2 Apple Mobile Device - "c:\program files\common files\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service> R2 CFSvcs (ConfigFree Service) - c:\program files\toshiba\configfree\cfsvcs.exe <Not Verified; TOSHIBA CORPORATION; ConfigFree(TM)> R2 TODDSrv (TOSHIBA Optical Disc Drive Service) - c:\windows\system32\toddsrv.exe <Not Verified; TOSHIBA Corporation; TDCSrv Application> R2 TOSHIBA Bluetooth Service - c:\program files\toshiba\bluetooth toshiba stack\tosbtsrv.exe <Not Verified; TOSHIBA CORPORATION; Bluetooth Stack for Windows by TOSHIBA> S2 CLTNetCnService (Symantec Lic NetConnect service) - "c:\program files\common files\symantec shared\ccsvchst.exe" /h cccommon (file missing) -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-05-25 18:50:16 414 --ah---c- C:\Windows\Tasks\User_Feed_Synchronization-{D9B30BB4-63C0-47D4-A444-A174F9308500}.job -- Files created between 2008-04-25 and 2008-05-25 ----------------------------- 2008-05-25 11:34:14 0 d------c- C:\Program Files\Trend Micro 2008-05-24 15:52:53 0 d------c- C:\Program Files\ClearProg 2008-05-21 21:00:39 0 d--h---c- C:\Users\All Users\{A25FEDC1-F6D7-440C-BCE2-B71F595F6646} 2008-05-21 21:00:35 0 d------c- C:\Program Files\Eraser 2008-04-29 23:57:42 0 d------c- C:\DVDVideoSoft 2008-04-29 23:56:56 0 d------c- C:\Program Files\Common Files\DVDVideoSoft 2008-04-29 23:56:51 0 d------c- C:\Program Files\DVDVideoSoft -- Find3M Report --------------------------------------------------------------- 2008-05-25 13:23:29 0 d------c- C:\Program Files\Microsoft Games 2008-05-25 10:33:12 0 d------c- C:\Program Files\PokerStars 2008-05-24 19:41:42 0 d------c- C:\Users\Tim\AppData\Roaming\Skype 2008-05-23 12:52:25 0 d------c- C:\Program Files\Google 2008-05-22 20:01:11 0 d------c- C:\Users\Tim\AppData\Roaming\Talkback 2008-05-22 20:00:54 0 d------c- C:\Users\Tim\AppData\Roaming\Mozilla 2008-05-22 19:30:30 0 d--h---c- C:\Program Files\InstallShield Installation Information 2008-05-22 16:06:01 0 d------c- C:\Program Files\Free WMA to MP3 Converter 2008-05-21 23:27:46 0 d------c- C:\Program Files\Messenger Plus! Live 2008-05-21 18:34:37 0 d------c- C:\Users\Tim\AppData\Roaming\Audacity 2008-05-21 18:34:26 0 d------c- C:\Program Files\OpenOffice.org 2.2 2008-05-21 18:34:26 0 d------c- C:\Program Files\ABC Amber Audio Converter 2008-05-20 19:02:49 0 d--h---c- C:\Users\Tim\AppData\Roaming\Download Manager 2008-05-18 19:46:43 651350 --a----c- C:\Windows\system32\perfh007.dat 2008-05-18 19:46:43 121114 --a----c- C:\Windows\system32\perfc007.dat 2008-05-15 15:34:09 0 d------c- C:\Users\Tim\AppData\Roaming\OpenOffice.org2 2008-05-15 10:09:30 0 d------c- C:\Program Files\Windows Mail 2008-04-29 23:56:56 0 d------c- C:\Program Files\Common Files 2008-04-18 19:43:03 0 d------c- C:\Program Files\IrfanView 2008-04-13 17:25:42 0 d------c- C:\Program Files\Microsoft Works 2008-04-13 17:25:08 0 d------c- C:\Program Files\MSBuild 2008-04-13 17:22:39 0 d------c- C:\Program Files\Microsoft.NET 2008-04-13 17:16:07 0 d------c- C:\Program Files\Microsoft Visual Studio 8 2008-03-28 13:22:56 0 d--h---c- C:\Users\Tim\AppData\Roaming\Apple Computer 2008-03-28 12:16:12 0 d------c- C:\Program Files\iTunesHelper.Resources 2008-03-28 12:16:12 0 d------c- C:\Program Files\iTunes.Resources 2008-03-28 12:16:01 0 d------c- C:\Program Files\Mozilla Plugins 2008-03-28 12:16:01 0 d------c- C:\Program Files\iPod 2008-03-28 12:16:01 0 d------c- C:\Program Files\CD Configuration 2008-03-28 12:15:57 0 d------c- C:\Program Files\iTunesMiniPlayer.Resources 2008-03-28 12:14:09 0 d------c- C:\Program Files\QuickTime 2008-03-26 15:21:50 0 d--hs--c- C:\Program Files\Common Files\WindowsLiveInstaller 2008-03-26 15:21:06 0 d------c- C:\Program Files\Windows Live -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [16.04.2007 00:33] "TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [14.12.2006 20:07] "HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [07.12.2006 17:49] "SmoothView"="C:\Program Files\Toshiba\SmoothView\SmoothView.exe" [14.12.2006 20:09] "00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [11.12.2006 18:27] "NvSvc"="C:\Windows\system32\nvsvc.dll" [07.12.2006 21:25] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [07.12.2006 21:25] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [07.12.2006 21:25] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [27.10.2006 14:50] "RtHDVCpl"="RtHDVCpl.exe" [07.11.2006 15:50 C:\Windows\RtHDVCpl.exe] "NDSTray.exe"="NDSTray.exe" [] "topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [15.12.2006 18:11] "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [14.04.2008 21:23] "IgfxTray"="C:\Windows\system32\igfxtray.exe" [13.09.2007 15:38] "HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [13.09.2007 15:38] "Persistence"="C:\Windows\system32\igfxpers.exe" [13.09.2007 15:38] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [01.02.2008 00:13] "iTunesHelper"="C:\Program Files\iTunesHelper.exe" [19.02.2008 14:10] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [09.01.2008 20:35] "TOSCDSPD"="TOSCDSPD.EXE" [] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [02.11.2006 14:35] "updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 12:43] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [02.11.2006 14:36] "Eraser"="C:\Program Files\Eraser\Eraser.exe" [23.12.2007 01:03] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"=2 (0x2) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppInfo] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KeyIso] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NTDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SWPRV] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TabletInputService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TBS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TrustedInstaller] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\VDS] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgr.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\volmgrx.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{6BDD1FC1-810F-11D0-BEC7-08002BE2092F}] @="IEEE 1394 Bus host controllers" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D48179BE-EC20-11D1-B6B8-00C04FA372A7}] @="SBP2 IEEE 1394 Devices" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{D94EE5D8-D189-4994-83D2-F68D7D41B0E6}] @="SecurityDevices" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalSystemNetworkRestricted hidserv UxSms WdiSystemHost Netman trkwks AudioEndpointBuilder WUDFSvc irmon sysmain IPBusEnum dot3svc PcaSvc EMDMgmt TabletInputService wlansvc WPDBusEnum [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4fe42e97-b20b-11db-9b51-806e6f6e6963}] AutoRun\command- F:\setup.EXE /autorun dxsetup\command- F:\directx\dxsetup.exe setup\command- F:\setup.exe Web\command- F:\extras\runshell.exe http://www.microsoft.com/games/flightsimulator [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] C:\Windows\system32\unregmp2.exe /ShowWMP [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] %SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI -- Hosts ----------------------------------------------------------------------- Code:
ATTFilter 127.0.0.1 w*w.supercocklol.com 127.0.0.1 w*w.webloyalty.com 127.0.0.1 w*w.guard.com 127.0.0.1 w*w.007guard.com 127.0.0.1w*w.008i.com 127.0.0.1 w*w.008k.com 127.0.0.1 w*w.008k.com 127.0.0.1 w*w.00hq.com 127.0.0.1 w*w.00hq.com 127.0.0.1 w*w.010402.com -- End of Deckard's System Scanner: finished at 2008-05-25 18:53:19 ------------ is ja ziemlich viel..:S danke fürs durchgucken..ich kann damit gar nix anfangen Geändert von timberlin (25.05.2008 um 18:26 Uhr) |
25.05.2008, 18:10 | #8 |
/// TB-Ausbilder | VIRUS kommt nach löschen immer wieder Hi, bitte die Links editieren! Insbesonder die folgenden: Code:
ATTFilter 127.0.0.1 .supercocklol.com 127.0.0.1 www..webloyalty.com 127.0.0.1 007guard.com 127.0.0.1 www.007guard.com 127.0.0.1 008i.com 127.0.0.1 008k.com 127.0.0.1 www.008k.com 127.0.0.1 00hq.com 127.0.0.1 www.00hq.com 127.0.0.1 010402.com Der nächste der deinen Thread aufruft und ausversehen an die falsche Stelle klickt, wird sich bedanken. Bitte die Links im Hijackthislog auch editieren. lg myrtille EDIT Sunny war schneller
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.05.2008, 18:25 | #9 | ||
/// TB-Ausbilder | VIRUS kommt nach löschen immer wieder Hi, also das Log ist sauber, ich würd vermuten, dass du nicht infiziert bist. Die "restlichen" Symptome versteh ich noch nicht so ganz: Zitat:
Code:
ATTFilter c/benutzer/tim/appdata/local/mozilla/firefox/profiles/50rkqd5j.default/cache Da wäre es ganz normal. Wenn sonst noch Dateien erstellt werden, bitte die Ordner nennen. Zitat:
wieder nimmst? (Rechtsklick->Eigenschaften->Attribute->bei Versteckt den Haken rausnehmen) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.05.2008, 18:33 | #10 |
| VIRUS kommt nach löschen immer wieder hi, wie das log is sauber?du mientest doch eben, das das inet seiten sind, die gefährlich sind?! genau dort erstellt er die dateien ja und bei jedem klick auf eine seite, kommen neue dazu..außerdem wie gesagt beim inet explorer genau das gleiche in den temporary internet files.. du bist also der meinung, dass es ganz normal ist, wenn da solche dateien reingeschrieben werden? dann versteh ich aber nciht, warum jedesmal ne virusmeldung kommt:S? zu den versteckten dateien: die waren nie versteckt, sind es jetzt aber aufeinmal gewesen..ich habe sie wieder sichtbar gemacht.. ich habe nur gedacht, dass das was mit dem virus zu tun haben könnte, da sie wie gesagt vorher alle nicht versteckt waren.. p.s.: wusste nich was editieren genau bedeutet, jetzt habe ich es verstanden..danke |
25.05.2008, 19:09 | #11 | |||
/// TB-Ausbilder | VIRUS kommt nach löschen immer wieder Hi, das waren 2 unterschiedliche Sachen. Eigentlich sogar 3 Zitat:
Eigentlich Ja: Bei jedem Besuch einer Webpage passiert auf deinem Rechner folgendes: Jede Webseite besteht aus Text, Bildern und weiteren Elementen. Damit du dir diese Elemente anschauen kannst müssen die auf deinen Rechner heruntergeladen werden um sozusagen von deinem Broswer interpretiert und angezeigt werden zu können. Das ist vollkommen normal. Du kannst in deinem Browser einstellen wievieler solcher Dateien du speichern möchtest. Aber in diesem speziellen Fall NEIN Was jetzt auf der Handballseite passiert ist, ist etwas anderes: Die Seite ist normalerweise sauber, das heißt eigentlich kommen nur die Bilder auf deinem Rechner. Derzeit ist die Seite allerdings gefährlich: Sie lädt dir weitere Dateien, die nichts mit der Seite zu tun haben, auf deinen Rechner. Das wird sich hoffentlich bald wieder ändern. Zitat:
Zitat:
Code:
ATTFilter 127.0.0.1 00hq.com Diese Art von Webseite ist "immer" böse, auch diese Seiten wollen Malware auf deinem Rechner installieren. Dein Log ist also sauber, weil in ihm keine Einträge sind, die von bösartigen Dateien erstellt wurden. Allerdings habe ich (und viele andere) diese schützenden Einträge wie du sie hast nicht und gelange wenn ich auf den Link klicke auf die "gefährliche" Seite auf der dann etwas auf meinem Rechner installiert wird. Deswegen wollte ich nicht, dass die Links so stehen bleiben. War das soweit verständlich? @versteckte Dateien: sowas passiert gelegentlich auch wenn bei Cleanern etwas schiefgeht. Daher fragte ich. Wenn es nicht wieder passiert, würde ich mir keine Sorgen machen. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
25.05.2008, 22:30 | #12 |
| VIRUS kommt nach löschen immer wieder hi, also danke erstmal für diese aufschlussreichen erklärungen... jetzt bleibt mir eigentlich nur ncoh zu fragen, was ich deiner meinung nach machen soll in zukunft:S? diese dateien sind böse und vervielfältigen sich..wie krieg ich das gestoppt? lg tim |
25.05.2008, 23:08 | #13 | ||
/// TB-Ausbilder | VIRUS kommt nach löschen immer wiederZitat:
Du hast zur Zeit keine bösartigen Dateien auf deinem Rechner, sondern nur Stücke von Webseiten, die dein Browser braucht, um die Seite darzustellen. Die Malware versucht übrigens sich über eine (alte) Schwachstelle im InternetExplorer zu installieren, wenn du also mit dem Firefox unterwegs bist, bist du auf jedenfall sicher. Wenn du mit Firefox alle Dateien im Cache-Ordner löschen willst, kannst du das unter Extras->Einstellungen->Datenschutz->Private Daten löschen tun. Dort kannst du unter "Einstellungen" wählen, welche Arten von Dateien gelöscht werden sollen (Cache sind die Dateien, von denen wir bisher geredet haben) und du kannst dort auch entscheiden, ob du willst, dass die Dateien jedes Mal gelöscht werden, wenn du den Firefox schließt. Zitat:
Die einzigen die jetzt etwas tun können, sind die Leute von der Handballseite, die dafür sorgen müssen, das nicht weiter versucht wird solche Malware zu installieren. Im Endeffekt hast du alles richtig gemacht und brauchst an deinem Verhalten nichts zu ändern. Du surfst mit einem alternativen Broswer, das heißt Viren, die versuchen Schwachstellen im IE auszunutzen, können dir nichts tun. Du hast ein Antivirenpogramm, dass dich bei solchen Zwischenfällen warnt und du nimmst die Warnung auch Ernst. Du hast hier angefragt, anstatt die Meldung als Fehler abzutun, sodass wir die Forenbesitzer warnen konnten. Dank deiner Mithilfe wird es bald eine Seite weniger geben, die unwissentlich Malware vertreibt lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu VIRUS kommt nach löschen immer wieder |
adobe, agere systems, application, aufrufe, avg, avira, bho, dateien versteckt, defender, desktop, dll, ebay, eraser, explorer, fehlalarm, handel, hijack, hijackthis, hängt, immer wieder, internet, internet explorer, langsam, mozilla, quara, rundll, safer networking, saver, scan, security, security center, software, symantec, system, uleadburninghelper, virus, vista, windows defender, windows sidebar |