|
Log-Analyse und Auswertung: HiJack Backup liste löschen???ßWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.05.2008, 16:31 | #1 |
| HiJack Backup liste löschen???ß Hallo ihr Lieben, vor zwei Tagen hat bei einem Scan AntVir wie folgt angeschlagen: Die Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\{6994491D-D491-48F1-AE1F-E179C1FFFC2F}\FixUninstall.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan]. Daraufhin habe ich diese Datei gelöscht mit Antivir. Meine Systemwiederherrstellung war aber aktiviert. Ist das wohl schlimm? Ich habe mich dann mal hier und in einem eanderen Forum etwas durchgelesen und daraufhin die Systemwiederherstellung erst deaktiviert. Dann habe ich den CCleaner benutzt Antivir noch einmal durchlaufen lassen, kein Fund. Dann habe ich mal avast installiert und eine Intensivprüfung gemacht, auch kein Fund. Dann habe ich ein HiJack scan gemacht und den Log auf der Internetseite auswerten lassen. Dabei kam heraus: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:13:22, on 30.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\BacsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.versatel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O1 - Hosts: 69.64.35.177 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [bacstray] BacsTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - h**p://gn.one2bill.de/soft/axload.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 6680 bytes O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O1 - Hosts: 69.64.35.177 auto.search.msn.com Habe ich auch getan, allerdings hatte ich vergessen, dass ih vorher die Systemwiederherstellung schon wieder aktiviert hatte Habe dann noch mal einen Scan durchgeführt: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:43:04, on 30.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.versatel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file) O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [bacstray] BacsTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 6568 bytes Meint ihr mein PC ist sauber oder hat der Trojaner schon was abgelegt?? Die gefixten Datein befinden sich noch in der Backupliste von HiJack. Soll ich die wohl da löschen? Ich wäre sehr dankbar für eure Hilfe |
31.05.2008, 15:36 | #2 |
| HiJack Backup liste löschen???ß Hallo,
__________________ist meine Frage zu doof? Mag keiner antworten?? Wäre echt nett!! |
31.05.2008, 15:40 | #3 |
/// the machine /// TB-Ausbilder | HiJack Backup liste löschen???ß das log ist auf den ersten blick sauber, aber das heißt nicht viel.
__________________mach mal bitte folgendes: Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.
gruß schrauber
__________________ |
31.05.2008, 19:14 | #4 |
| HiJack Backup liste löschen???ß Hallo Schrauber. danke für die hilfreiche Anleitung. Aber ich glaube ich habe was falsch gemacht, weil da überall übersprungen steht. Hier das Ergebnis des Scans: Code:
ATTFilter ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Samstag, 31. Mai 2008 20:07:14 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 31/05/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 727993 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 65037 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:16:18 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\INDEX.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INDEX.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\INDEX.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP2\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{A1E2C72D-1A54-4440-8232-56B845AC13EA}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\H323LOG.TXT Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_70c.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\WIADEBUG.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\WIASERVC.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
31.05.2008, 21:40 | #5 |
/// the machine /// TB-Ausbilder | HiJack Backup liste löschen???ß hi, das ergebnis ist auch sauber,also würd ich fast dazu neigen den rechner als sauber anzusehen. wir könnten jetzt noch ewig weiter scannen,mit rootkitscans nach versteckten sachen. macht der rechner denn irgendwie probleme?? fixe mal mit HijackThis noch diese sachen: Code:
ATTFilter O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Start => Programmzugriff und Standards => Programme ändern oder deinstallieren. Lösche nun folgende Ordner (falls noch vorhanden) und leere den Papierkorb, damit alle Reste der Vorgänger-Versionen entfernt werden:
Downloade nun Java (Java Runtime Environment (JRE) 6 Update 6) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst. Dein Adobe Reader ist nicht aktuell, deinstalliere die alte Version über Start => Programmzugriff und -standards => Programme ändern oder deinstallieren, klicke dort "Adobe Reader x.0" und deinstalliere das Programm. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.
zeig mir nach all dem mal ein frisches hjt-log,aber das sind mehr kosmetik-arbeiten,die wir jetzt durchführen. gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
02.06.2008, 21:44 | #6 |
| HiJack Backup liste löschen???ß Hier das Ergebnis vom Secunia-Scan: Code:
ATTFilter Secunia: Online Software Inspector The Secunia Online Software Inspector will inspect your operating system and software for insecure versions and missing security updates. A default inspection normally lasts 5-40 seconds, while a thorough inspection may take several minutes. Note: If you have anti-virus software or similar enabled, an inspection may increase significantly in duration. Detection Statistics: 10 Applications Detected in Total 2 Insecure Versions Detected 8 Secure Versions Detected Running For: 8 Minutes, 28 Seconds Errors Detected: 0 Errors Detected Enable thorough system inspection Enable the Secunia Online Software Inspector to search for software installed in non-default locations. Did you find this scan useful? Then you might find it even more useful to run our powerful installable programs, capable of conducting very thorough and indepth scans. Personal Edition (free) | Business Edition Status / Currently Processing: Detection completed successfully Applications / Result Version Detected Status Microsoft Windows XP Home Edition Service Pack 2 Adobe Reader 8.x 8.1.2.86 Apple Quicktime 5.x 5.0.2.15 This installation of Apple Quicktime 5.x is insecure and potentially exposes your system to security threats! The detected version installed on your system is 5.0.2.15, however, the latest secure version released by the vendor, fixing one or more vulnerabilities, is 7.4.5.0. Update Instructions: Update to version 7.4.5.0 or later. http://www.apple.com/quicktime/download/ NOTE: This version is not supported on Windows 2000. Vulnerabilities Fixed: Read about the vulnerabilities fixed with this update in Secunia advisory SA29650 (opens in a new window). The Secunia advisory describes the vulnerabilities fixed by the latest security update. If your installation is outdated with more than one version, then more vulnerabilities may be covered. Installed on Your System in: C:\Programme\QuickTime\QuickTimePlayer.exe Microsoft Internet Explorer 7.x 7.0.6000.16640 Microsoft Outlook Express 6 6.00.2900.2180 Microsoft Windows Live Messenger 8.x 8.1.178.0 Microsoft Windows Media Player 9.x 9.00.00.3250 WinZip 9.x 9.0 SR-1 (6224g) Adobe Flash Player 9.x 9.0.115.0 This installation of Adobe Flash Player 9.x is insecure and potentially exposes your system to security threats! The detected version installed on your system is 9.0.115.0, however, the latest secure version released by the vendor, fixing one or more vulnerabilities, is 9.0.124.0. Update Instructions: Update to version 9.0.124.0. http://www.adobe.com/go/getflash NOTE: When updating Flash Player, older versions are not always automatically removed from your system. If older versions were detected that you believe should not be present, then please contact the vendor regarding how to remove them from your system. Vulnerabilities Fixed: Read about the vulnerabilities fixed with this update in Secunia advisory SA28083 (opens in a new window). The Secunia advisory describes the vulnerabilities fixed by the latest security update. If your installation is outdated with more than one version, then more vulnerabilities may be covered. Installed on Your System in: C:\WINDOWS\SYSTEM32\Macromed\Flash\Flash9e.ocx Sun Java JRE 1.6.x / 6.x 6.0.60.2 Ich mach noch mal nen HiJackscan bis später! |
02.06.2008, 22:08 | #7 |
| HiJack Backup liste löschen???ß So hier noch mal der neue HiJackScan: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:59:19, on 02.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\BacsTray.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:**google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.versatel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:***go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [bacstray] BacsTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://upd*te.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://***.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http:*/xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7020 bytes Danke noch mal Gruß |
02.06.2008, 22:17 | #8 |
| HiJack Backup liste löschen???ßCode:
ATTFilter O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall |
02.06.2008, 22:25 | #9 | |
/// the machine /// TB-Ausbilder | HiJack Backup liste löschen???ß was hast du alles mit hilfe von secunia upgedatet?? welche programme hast du installiert? Zitat:
das hast du dir mitinstalliert bei irgendwas. gehe wie folgt vor: Lade die 15 Tage kostenlose Trialversion von CounterSpy V2 von Sunbelt herunter. Counterspy V2 ist ein Programm, dass Adware und Spyware findet und löscht. Das Programm ist geeignet für Windows 98/ME/2000/XP/2003/Vista.
gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
04.06.2008, 15:45 | #10 |
| HiJack Backup liste löschen???ß Hallo Schrauber, also mit Hilfe von Secunia habe ich adobeflashplayer und Quicktimeplayer upgedatet und neu installiert hatte ich Java und Adobe Reader. Danke für deine Anleitung!!! Hier der erste Scan von Counterspy: Code:
ATTFilter Scan History Details Start Date: 04.06.2008 13:28:48 End Date: 04.06.2008 14:45:06 Total Time: 76 Min 18 Sec Detected security risks Cookie: Tracking Cookies Cookie (General) more information... Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs. Status: Deleted Cookies detected c:\dokumente und einstellungen\***\cookies\a**@247realmedia[2].txt c:\dokumente und einstellungen\***\cookies\***@2o7[2].txt c:\dokumente und einstellungen\***\cookies\***@2o7[3].txt c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[1].txt c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[2].txt c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[3].txt c:\dokumente und einstellungen\***\cookies\an**a@ad.yieldmanager[4].txt c:\dokumente und einstellungen\***\cookies\a***a@adrevolver[2].txt c:\dokumente und einstellungen\***\cookies\a***a@ads.pointroll[1].txt c:\dokumente und einstellungen\a***\cookies\***@advertising[1].txt c:\dokumente und einstellungen\****\cookies\***@advertising[3].txt c:\dokumente und einstellungen\****\cookies\***@adviva[1].txt c:\dokumente und einstellungen\****\cookies\***@amazon[1].txt c:\dokumente und einstellungen\a***\cookies\***@amazon[3].txt c:\dokumente und einstellungen\a***\cookies\***@amazon[4].txt c:\dokumente und einstellungen\***\cookies\***@atdmt[2].txt c:\dokumente und einstellungen\****kies\***@atdmt[3].txt c:\dokumente und einstellungen\****\cookies\***@bfast[1].txt c:\dokumente und einstellungen\*cookies\***@bluestreak[1].txt c:\dokumente und einstellungen\*cookies\***@bravenet[1].txt c:\dokumente und einstellungen\*\ookies\***@bs.serving-sys[2].txt c:\dokumente und einstellungen\*\cookies\***@bs.serving-sys[3].txt c:\dokumente und einstellungen\*\cookies\***@burstnet[2].txt c:\dokumente und einstellungen\***\cookies\***@casalemedia[1].txt c:\dokumente und einstellungen\***\cookies\***@data.coremetrics[1].txt c:\dokumente und einstellungen\***\cookies\***@dealtime[1].txt c:\dokumente und einstellungen\***\cookies\***@doubleclick[1].txt c:\dokumente und einstellungen\***\cookies\***@doubleclick[2].txt c:\dokumente und einstellungen\***\cookies\***@ehg-idg.hitbox[1].txt c:\dokumente und einstellungen\***cookies\***@fastclick[2].txt c:\dokumente und einstellungen\***cookies\***@hitbox[2].txt c:\dokumente und einstellungen\***\cookies\***@lycos[2].txt c:\dokumente und einstellungen\***\cookies\***@lycos[3].txt c:\dokumente und einstellungen\***cookies\***@mediaplex[1].txt c:\dokumente und einstellungen\**\cookies\***@mediaplex[2].txt c:\dokumente und einstellungen\***\cookies\***@overture[1].txt c:\dokumente und einstellungen\***\cookies\***@overture[2].txt c:\dokumente und einstellungen\***\cookies\***@perf.overture[1].txt c:\dokumente und einstellungen\***\cookies\***@questionmarket[1].txt c:\dokumente und einstellungen\**\cookies\***@revenue[2].txt c:\dokumente und einstellungen\****\cookies\***@revsci[2].txt c:\dokumente und einstellungen\**\cookies\***@server.iad.liveperson[2].txt c:\dokumente und einstellungen\***\cookies\***@serving-sys[1].txt c:\dokumente und einstellungen\***\cookies\***@serving-sys[2].txt c:\dokumente und einstellungen\**\cookies\***@smartadserver[1].txt c:\dokumente und einstellungen\**\cookies\***@stat.onestat[2].txt c:\dokumente und einstellungen\***\cookies\***@statcounter[2].txt c:\dokumente und einstellungen\***\cookies\***@statse.webtrendslive[1].txt c:\dokumente und einstellungen\***\cookies\***@statse.webtrendslive[2].txt c:\dokumente und einstellungen\**\cookies\***@statse.webtrendslive[4].txt c:\dokumente und einstellungen\**\cookies\***@tradedoubler[1].txt c:\dokumente und einstellungen\***\cookies\***@tradedoubler[2].txt c:\dokumente und einstellungen\**\cookies\***@weborama[1].txt c:\dokumente und einstellungen\***\cookies\***@weborama[3].txt c:\dokumente und einstellungen\***\cookies\***@www.miniclip[2].txt c:\dokumente und einstellungen\***\cookies\***@www.myaffiliateprogram[2].txt c:\dokumente und einstellungen\***\cookies\***@xiti[1].txt c:\dokumente und einstellungen\***\cookies\***@yourmedia[1].txt c:\dokumente und einstellungen\***\cookies\***@2o7[1].txt c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[1].txt c:\dokumente und einstellungen\***\cookies\***@adrevolver[1].txt c:\dokumente und einstellungen\***\cookies\***@advertising[1].txt c:\dokumente und einstellungen\***\cookies\***@adviva[2].txt c:\dokumente und einstellungen\***\cookies\***@atdmt[2].txt c:\dokumente und einstellungen\***\cookies\***@bluestreak[2].txt c:\dokumente und einstellungen\***\cookies\***@bs.serving-sys[1].txt c:\dokumente und einstellungen\***\cookies\***@doubleclick[1].txt c:\dokumente und einstellungen\***\cookies\***@fortunecity[1].txt c:\dokumente und einstellungen\***\cookies\***@hitbox[2].txt c:\dokumente und einstellungen\***\cookies\***@lycos[1].txt c:\dokumente und einstellungen\***\cookies\***@mediaplex[1].txt c:\dokumente und einstellungen\***\cookies\***@overture[1].txt c:\dokumente und einstellungen\***\cookies\***@revenue[1].txt c:\dokumente und einstellungen\***\cookies\***@serving-sys[2].txt c:\dokumente und einstellungen\***\cookies\***@smartadserver[1].txt c:\dokumente und einstellungen\***\cookies\***@statcounter[2].txt c:\dokumente und einstellungen\***\cookies\***@tradedoubler[1].txt c:\dokumente und einstellungen\***\cookies\***@weborama[1].txt c:\dokumente und einstellungen\**\cookies\***@www.miniclip[1].txt c:\dokumente und einstellungen\***\cookies\***@xiti[1].txt c:\dokumente und einstellungen\***\cookies\***@yourmedia[1].txt Code:
ATTFilter Scan History Details Start Date: 04.06.2008 14:48:53 End Date: 04.06.2008 16:03:43 Total Time: 74 Min 50 Sec Detected security risks No risks were found during this scan. Danke noch mal für deine Hilfe. Soll ich noch was tun? Gruß |
04.06.2008, 16:54 | #11 |
/// the machine /// TB-Ausbilder | HiJack Backup liste löschen???ß warte noch mit der backup-liste. führe bitte Malwarebytes Anti-Malware aus,poste das log sowie ein frisches hjt-log. gruß schrauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
06.06.2008, 16:53 | #12 |
| HiJack Backup liste löschen???ß Hallo hier der Scan von Antimalware: Code:
ATTFilter Malwarebytes' Anti-Malware 1.15 Datenbank Version: 834 17:50:25 06.06.2008 mbam-log-6-6-2008 (17-50-25).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 105615 Scan Dauer: 31 minute(s), 16 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
06.06.2008, 17:02 | #13 |
| HiJack Backup liste löschen???ß So und hier noch mal ein HiJacklogfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:56:58, on 06.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Caere\OmniPagePro90\opware32.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_06\bin\jusched.exe C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\HiJackThis\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http***google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.versatel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http**.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http***go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:*/go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [bacstray] BacsTray.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Exif Launcher.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http:**update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000 O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://***.adobe.com/products/acrobat/nos/gp.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http:*/fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http:**xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe -- End of file - 7156 bytes |
06.06.2008, 17:48 | #14 |
/// the machine /// TB-Ausbilder | HiJack Backup liste löschen???ß jepp,du bist sauber
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
06.06.2008, 22:33 | #15 |
| HiJack Backup liste löschen???ß Yuhuu endlich. Vielen Dank für deine ausführliche Hilfe Schrauber!!! |
Themen zu HiJack Backup liste löschen???ß |
'tr/dropper.gen', adobe, antvir, auswerten, avast, avg, avira, bho, datei gelöscht, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, install.exe, internet explorer, logfile, löschen?, object, programm, scan, software, temp, tr/dropper.gen, trojan, trojaner, urlsearchhook, virus, windows, windows xp |