Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJack Backup liste löschen???ß

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.05.2008, 16:31   #1
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hallo ihr Lieben,

vor zwei Tagen hat bei einem Scan AntVir wie folgt angeschlagen:

Die Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\{6994491D-D491-48F1-AE1F-E179C1FFFC2F}\FixUninstall.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan].

Daraufhin habe ich diese Datei gelöscht mit Antivir. Meine Systemwiederherrstellung war aber aktiviert. Ist das wohl schlimm?
Ich habe mich dann mal hier und in einem eanderen Forum etwas durchgelesen und daraufhin die Systemwiederherstellung erst deaktiviert.
Dann habe ich den CCleaner benutzt Antivir noch einmal durchlaufen lassen, kein Fund. Dann habe ich mal avast installiert und eine Intensivprüfung gemacht, auch kein Fund.
Dann habe ich ein HiJack scan gemacht und den Log auf der Internetseite auswerten lassen.
Dabei kam heraus:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:22, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\BacsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.versatel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - h**p://gn.one2bill.de/soft/axload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6680 bytes
         
Also bei der Auswertung heraus kam dass ich zwei sachen fixen sollte:

O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab

O1 - Hosts: 69.64.35.177 auto.search.msn.com

Habe ich auch getan, allerdings hatte ich vergessen, dass ih vorher die Systemwiederherstellung schon wieder aktiviert hatte

Habe dann noch mal einen Scan durchgeführt:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:04, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.versatel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6568 bytes
         
Ich habe Antivir auch noch mal versteckte Dateien und Objekte suchen durchsuchen lassenbzw. danach suchen lasssen. Kein Fund.

Meint ihr mein PC ist sauber oder hat der Trojaner schon was abgelegt??
Die gefixten Datein befinden sich noch in der Backupliste von HiJack. Soll ich die wohl da löschen?

Ich wäre sehr dankbar für eure Hilfe

Alt 31.05.2008, 15:36   #2
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hallo,

ist meine Frage zu doof?
Mag keiner antworten??

Wäre echt nett!!
__________________


Alt 31.05.2008, 15:40   #3
schrauber
/// the machine
/// TB-Ausbilder
 

HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



das log ist auf den ersten blick sauber, aber das heißt nicht viel.

mach mal bitte folgendes:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.
  • Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
    Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

    => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
    => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
    => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
    => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
    => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


gruß

schrauber
__________________
__________________

Alt 31.05.2008, 19:14   #4
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hallo Schrauber.

danke für die hilfreiche Anleitung.
Aber ich glaube ich habe was falsch gemacht, weil da überall übersprungen steht.
Hier das Ergebnis des Scans:
Code:
ATTFilter
-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Samstag, 31. Mai 2008 20:07:14
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 31/05/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 727993
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	C:\
	D:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 65037
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:16:18

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\INDEX.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INDEX.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\INDEX.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP2\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{A1E2C72D-1A54-4440-8232-56B845AC13EA}.bin	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\H323LOG.TXT	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SYSTEM32\WBEM\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_70c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WIADEBUG.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WIASERVC.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Alt 31.05.2008, 21:40   #5
schrauber
/// the machine
/// TB-Ausbilder
 

HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



hi,

das ergebnis ist auch sauber,also würd ich fast dazu neigen den rechner als sauber anzusehen. wir könnten jetzt noch ewig weiter scannen,mit rootkitscans nach versteckten sachen. macht der rechner denn irgendwie probleme??

fixe mal mit HijackThis noch diese sachen:

Code:
ATTFilter
O2 - BHO: (no name) - {07F8D214-4AC6-4789-BC76-02891F76E5BD} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
         
dann könntest du deine programme mal mit updates versorgen:

Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Start => Programmzugriff und Standards => Programme ändern oder deinstallieren. Lösche nun folgende Ordner (falls noch vorhanden) und leere den Papierkorb, damit alle Reste der Vorgänger-Versionen entfernt werden:
  • C:\Programme\JAVA
  • C:\Windows\Sun
  • C:\Dokumente und Einstellungen\*Dein Benutzername*\Anwendungsdaten\Sun
  • C:\Dokumente und Einstellungen\*evtl. weiterer Benutzername*\Anwendungsdaten\Sun
  • Vista User = C:\Users\*dein Benutzername*\AppData\LocalLow\Sun
  • Achtung: nicht C:\Windows\Java
Starte den Rechner neu.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 6) von http://www.trojaner-board.de/105213-java-update-einstellungen.html]SUN[/url] und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du "Accept License Agreement" aktivierst.

Dein Adobe Reader ist nicht aktuell, deinstalliere die alte Version über Start => Programmzugriff und -standards => Programme ändern oder deinstallieren, klicke dort "Adobe Reader x.0" und deinstalliere das Programm. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.
  • Besuche bitte diese Seite: Software Inspector - Secunia
  • klicke auf "Start Now"
  • lass dein System scannnen
  • kopiere den Scan Report
  • ziehe dir alle Updates
  • poste den Scan Report


zeig mir nach all dem mal ein frisches hjt-log,aber das sind mehr kosmetik-arbeiten,die wir jetzt durchführen.


gruß

schrauber

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 02.06.2008, 21:44   #6
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hier das Ergebnis vom Secunia-Scan:

Code:
ATTFilter
Secunia: Online Software Inspector 
The Secunia Online Software Inspector will inspect your operating system and software for insecure versions and missing security updates. A default inspection normally lasts 5-40 seconds, while a thorough inspection may take several minutes. Note: If you have anti-virus software or similar enabled, an inspection may increase significantly in duration.  
Detection Statistics:

10 Applications Detected in Total
2 Insecure Versions Detected
8 Secure Versions Detected

Running For: 
8 Minutes, 28 Seconds

Errors Detected: 
0 Errors Detected     
 Enable thorough system inspection
Enable the Secunia Online Software Inspector to search for software installed in non-default locations.

Did you find this scan useful?
Then you might find it even more useful to run our powerful installable programs, capable of conducting very thorough and indepth scans.
Personal Edition (free) | Business Edition

 
Status / Currently Processing:

Detection completed successfully   
 
 

 
Applications / Result  Version Detected  Status  
   Microsoft Windows XP Home Edition Service Pack 2  
  
   Adobe Reader 8.x 8.1.2.86  
  
   Apple Quicktime 5.x 5.0.2.15  
 This installation of Apple Quicktime 5.x is insecure and potentially exposes your system to security threats!

The detected version installed on your system is 5.0.2.15, however, the latest secure version released by the vendor, fixing one or more vulnerabilities, is 7.4.5.0.

Update Instructions:
Update to version 7.4.5.0 or later.
http://www.apple.com/quicktime/download/

NOTE: This version is not supported on Windows 2000.

Vulnerabilities Fixed:
Read about the vulnerabilities fixed with this update in Secunia advisory SA29650 (opens in a new window). The Secunia advisory describes the vulnerabilities fixed by the latest security update. If your installation is outdated with more than one version, then more vulnerabilities may be covered.


Installed on Your System in:
C:\Programme\QuickTime\QuickTimePlayer.exe 
   Microsoft Internet Explorer 7.x 7.0.6000.16640  
  
   Microsoft Outlook Express 6 6.00.2900.2180  
  
   Microsoft Windows Live Messenger 8.x 8.1.178.0  
  
   Microsoft Windows Media Player 9.x 9.00.00.3250  
  
   WinZip 9.x 9.0 SR-1 (6224g)  
  
   Adobe Flash Player 9.x 9.0.115.0  
 This installation of Adobe Flash Player 9.x is insecure and potentially exposes your system to security threats!

The detected version installed on your system is 9.0.115.0, however, the latest secure version released by the vendor, fixing one or more vulnerabilities, is 9.0.124.0.

Update Instructions:
Update to version 9.0.124.0.
http://www.adobe.com/go/getflash

NOTE: When updating Flash Player, older versions are not always automatically removed from your system. If older versions were detected that you believe should not be present, then please contact the vendor regarding how to remove them from your system.

Vulnerabilities Fixed:
Read about the vulnerabilities fixed with this update in Secunia advisory SA28083 (opens in a new window). The Secunia advisory describes the vulnerabilities fixed by the latest security update. If your installation is outdated with more than one version, then more vulnerabilities may be covered.


Installed on Your System in:
C:\WINDOWS\SYSTEM32\Macromed\Flash\Flash9e.ocx 
   Sun Java JRE 1.6.x / 6.x 6.0.60.2
         
Danke noch mal für die viele Hilfe Schrauber !!!!! :-)

Ich mach noch mal nen HiJackscan bis später!

Alt 02.06.2008, 22:08   #7
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



So hier noch mal der neue HiJackScan:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:59:19, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\BacsTray.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:**google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.versatel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:***go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.***.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://upd*te.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://***.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http:*/xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7020 bytes
         
Ich hatte da noch 3 sachen gefixt wie du empfohlen hast. Sollte ich dann auch die Backupliste von hijack löschen???

Danke noch mal
Gruß

Alt 02.06.2008, 22:17   #8
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Code:
ATTFilter
O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall
         
Das hab ich gefixt, ist das ein Virus?

Alt 02.06.2008, 22:25   #9
schrauber
/// the machine
/// TB-Ausbilder
 

HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



was hast du alles mit hilfe von secunia upgedatet?? welche programme hast du installiert?

Zitat:
O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall
Coolwebsearch: Das Ebola-Virus unter den Adware-Programmen - PC-WELT

das hast du dir mitinstalliert bei irgendwas.

gehe wie folgt vor:

Lade die 15 Tage kostenlose Trialversion von CounterSpy V2 von Sunbelt herunter. Counterspy V2 ist ein Programm, dass Adware und Spyware findet und löscht. Das Programm ist geeignet für Windows 98/ME/2000/XP/2003/Vista.
  • Update das Programm online (Geduld, das kann eine Weile dauern).
  • Klicke links auf "System Scan" und setze Häkchen bei Full System, Low Risk Programs, Cookies und bei Save Options.
  • Beende die Internet-Verbindung.
  • Starte Deinen Rechner neu in den abgesicherten Modus (Hinweise zum Wie findest Du weiter unten).
  • Scanne nun Deinen Rechner (Scan Now) mit CounterSpy (das Fenster sieht im abgesicherten Modus etwas anders, nicht wundern). Auch hier ist wieder Geduld gefragt, denn ein kompletter Scan dauert je nach Belegung der Festplatten u. U. mehrere Stunden.
  • Wenn der Scan fertig ist, klicke bitte auf den Button "Results".
  • Du musst nun Counterspy sagen, was es mit den Funden machen soll, dazu
  • Recommended Action auf REMOVE (= entfernen) umstellen, damit Counterspy weiß, was es mit der Malware machen soll.
  • Vorhanden sind folgende Möglichkeiten:
  • Ignore
  • Quarantine
  • Remove (das wählen!)
  • Dann musst Du noch auf den Button 'Clean' klicken, den Du unten rechts im Bild siehst. Wenn Du das nicht machst, weiß CounterSpy nicht, dass es eine Handlung vornehmen soll.
  • Wenn die Behandlung der Malware abgeschlossen ist, zeigt CounterSpy Dir das Ergebnis des Scans.
CounterSpy entfernt mit einem Durchgang immer nur einen Teil der Malware vom System. Wiederhole den Scan im abgesicherten Modus so oft, bis Counterspy keine Funde mehr anzeigt. Starte den Rechner anschließend neu in den normalen Modus.
  • Logfiles finden:
  • Starte Counterspy V2
  • klicke oben im Menü auf View => System Scan => View System Scan History => dort unten rechts => View full details of scan'.
  • Es erscheint ein Fenster mit allen Scanergebnissen (Scan History).
  • Markiere das Ergebnis des ersten Scans und klicke unten rechts auf => View full details of scan...
  • In dem aufpoppenden Fenster 'Scan History Details' steht das Scan Ergebnis mit allen Details, was an Malware auf Deinem Rechner gefunden und gelöscht worden ist.
  • Dieses Ergebnis mit STRG + A markieren und mit STRG + C ins Clipboard kopieren.
  • Mit STRG + V die Ergebnisse hier in den Thread reinkopieren.
  • Dies ist das erste Logfile von CounterSpy, das wir im Forum unbedingt sehen müssen, um zu erfahren, was auf Deinem System gefunden und gelöscht wurde.
  • Poste bitte auf die gleiche Weise die Ergebnisse der weiteren Scans, die evtl. gemacht wurden, in diesem Thread.
===== Hinweise zum Arbeiten im abgesicherten Modus
  • Neustart des Computers
  • Vor dem Start von Windows mehrfach die Taste "F8" betätigen, um in das erweiterte Windows-Startmenü zu gelangen.
  • Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
  • Im erweiterten Windows-Startmenü wähle die über die Pfeiltasten die Option "Abgesicherter Modus" und drücke die Eingabetaste.
  • Warnung Lade das SafeMode Repair.zip präventiv herunter, entpacke es auf Deinen Desktop. Das SafeBoot-Regfix wird gebraucht, falls Malware durch Registry-Änderungen dafür gesorgt hat, dass Du nicht mehr aus dem abgesicherten Modus heraus kommst. In diesem Fall mache einen Doppelklick auf die "SafeMode Repair.reg", um die verbogenen Registry-Einträge zu reparieren. Klicke auf "OK". Starte Deinen Rechner neu, um wieder in den normalen Modus zu kommen.
===== Nach dem ersten Durchlauf von Counterspy bitte die Systemwiederherstellung deaktivieren und wieder reaktivieren, damit alle alten Systemwiederherstellungspunkte (und die dazugehörigen alten Dateien) gelöscht werden. Systemwiederherstellung deaktivieren und wieder aktivieren:
  • Windows XP: Deaktiviere die Systemwiederherstellung
  • Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
  • Wähle den Reiter Systemwiederherstellung
  • Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
  • der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
  • den Haken wieder entfernen und OK drücken
  • wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten (ich persönlich habe die SWH nur auf C: aktiv und bei allen zusätzlichen Partitionen/Laufwerken deaktiviert).
Danach ggfs. noch einmal Counterspy laufen lassen, falls beim ersten Durchlauf Funde gemacht wurde.


gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 04.06.2008, 15:45   #10
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hallo Schrauber,

also mit Hilfe von Secunia habe ich adobeflashplayer und Quicktimeplayer upgedatet und neu installiert hatte ich Java und Adobe Reader.

Danke für deine Anleitung!!!

Hier der erste Scan von Counterspy:
Code:
ATTFilter
Scan History Details
Start Date: 04.06.2008 13:28:48
End Date: 04.06.2008 14:45:06
Total Time: 76 Min 18 Sec
Detected security risks

Cookie: Tracking Cookies Cookie (General)  more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Deleted

Cookies detected
c:\dokumente und einstellungen\***\cookies\a**@247realmedia[2].txt
c:\dokumente und einstellungen\***\cookies\***@2o7[2].txt
c:\dokumente und einstellungen\***\cookies\***@2o7[3].txt
c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[1].txt
c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[2].txt
c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[3].txt
c:\dokumente und einstellungen\***\cookies\an**a@ad.yieldmanager[4].txt
c:\dokumente und einstellungen\***\cookies\a***a@adrevolver[2].txt
c:\dokumente und einstellungen\***\cookies\a***a@ads.pointroll[1].txt
c:\dokumente und einstellungen\a***\cookies\***@advertising[1].txt
c:\dokumente und einstellungen\****\cookies\***@advertising[3].txt
c:\dokumente und einstellungen\****\cookies\***@adviva[1].txt
c:\dokumente und einstellungen\****\cookies\***@amazon[1].txt
c:\dokumente und einstellungen\a***\cookies\***@amazon[3].txt
c:\dokumente und einstellungen\a***\cookies\***@amazon[4].txt
c:\dokumente und einstellungen\***\cookies\***@atdmt[2].txt
c:\dokumente und einstellungen\****kies\***@atdmt[3].txt
c:\dokumente und einstellungen\****\cookies\***@bfast[1].txt
c:\dokumente und einstellungen\*cookies\***@bluestreak[1].txt
c:\dokumente und einstellungen\*cookies\***@bravenet[1].txt
c:\dokumente und einstellungen\*\ookies\***@bs.serving-sys[2].txt
c:\dokumente und einstellungen\*\cookies\***@bs.serving-sys[3].txt
c:\dokumente und einstellungen\*\cookies\***@burstnet[2].txt
c:\dokumente und einstellungen\***\cookies\***@casalemedia[1].txt
c:\dokumente und einstellungen\***\cookies\***@data.coremetrics[1].txt
c:\dokumente und einstellungen\***\cookies\***@dealtime[1].txt
c:\dokumente und einstellungen\***\cookies\***@doubleclick[1].txt
c:\dokumente und einstellungen\***\cookies\***@doubleclick[2].txt
c:\dokumente und einstellungen\***\cookies\***@ehg-idg.hitbox[1].txt
c:\dokumente und einstellungen\***cookies\***@fastclick[2].txt
c:\dokumente und einstellungen\***cookies\***@hitbox[2].txt
c:\dokumente und einstellungen\***\cookies\***@lycos[2].txt
c:\dokumente und einstellungen\***\cookies\***@lycos[3].txt
c:\dokumente und einstellungen\***cookies\***@mediaplex[1].txt
c:\dokumente und einstellungen\**\cookies\***@mediaplex[2].txt
c:\dokumente und einstellungen\***\cookies\***@overture[1].txt
c:\dokumente und einstellungen\***\cookies\***@overture[2].txt
c:\dokumente und einstellungen\***\cookies\***@perf.overture[1].txt
c:\dokumente und einstellungen\***\cookies\***@questionmarket[1].txt
c:\dokumente und einstellungen\**\cookies\***@revenue[2].txt
c:\dokumente und einstellungen\****\cookies\***@revsci[2].txt
c:\dokumente und einstellungen\**\cookies\***@server.iad.liveperson[2].txt
c:\dokumente und einstellungen\***\cookies\***@serving-sys[1].txt
c:\dokumente und einstellungen\***\cookies\***@serving-sys[2].txt
c:\dokumente und einstellungen\**\cookies\***@smartadserver[1].txt
c:\dokumente und einstellungen\**\cookies\***@stat.onestat[2].txt
c:\dokumente und einstellungen\***\cookies\***@statcounter[2].txt
c:\dokumente und einstellungen\***\cookies\***@statse.webtrendslive[1].txt
c:\dokumente und einstellungen\***\cookies\***@statse.webtrendslive[2].txt
c:\dokumente und einstellungen\**\cookies\***@statse.webtrendslive[4].txt
c:\dokumente und einstellungen\**\cookies\***@tradedoubler[1].txt
c:\dokumente und einstellungen\***\cookies\***@tradedoubler[2].txt
c:\dokumente und einstellungen\**\cookies\***@weborama[1].txt
c:\dokumente und einstellungen\***\cookies\***@weborama[3].txt
c:\dokumente und einstellungen\***\cookies\***@www.miniclip[2].txt
c:\dokumente und einstellungen\***\cookies\***@www.myaffiliateprogram[2].txt
c:\dokumente und einstellungen\***\cookies\***@xiti[1].txt
c:\dokumente und einstellungen\***\cookies\***@yourmedia[1].txt
c:\dokumente und einstellungen\***\cookies\***@2o7[1].txt
c:\dokumente und einstellungen\***\cookies\***@ad.yieldmanager[1].txt
c:\dokumente und einstellungen\***\cookies\***@adrevolver[1].txt
c:\dokumente und einstellungen\***\cookies\***@advertising[1].txt
c:\dokumente und einstellungen\***\cookies\***@adviva[2].txt
c:\dokumente und einstellungen\***\cookies\***@atdmt[2].txt
c:\dokumente und einstellungen\***\cookies\***@bluestreak[2].txt
c:\dokumente und einstellungen\***\cookies\***@bs.serving-sys[1].txt
c:\dokumente und einstellungen\***\cookies\***@doubleclick[1].txt
c:\dokumente und einstellungen\***\cookies\***@fortunecity[1].txt
c:\dokumente und einstellungen\***\cookies\***@hitbox[2].txt
c:\dokumente und einstellungen\***\cookies\***@lycos[1].txt
c:\dokumente und einstellungen\***\cookies\***@mediaplex[1].txt
c:\dokumente und einstellungen\***\cookies\***@overture[1].txt
c:\dokumente und einstellungen\***\cookies\***@revenue[1].txt
c:\dokumente und einstellungen\***\cookies\***@serving-sys[2].txt
c:\dokumente und einstellungen\***\cookies\***@smartadserver[1].txt
c:\dokumente und einstellungen\***\cookies\***@statcounter[2].txt
c:\dokumente und einstellungen\***\cookies\***@tradedoubler[1].txt
c:\dokumente und einstellungen\***\cookies\***@weborama[1].txt
c:\dokumente und einstellungen\**\cookies\***@www.miniclip[1].txt
c:\dokumente und einstellungen\***\cookies\***@xiti[1].txt
c:\dokumente und einstellungen\***\cookies\***@yourmedia[1].txt
         
So beim zweiten war schon kein Fund mehr:
Code:
ATTFilter
Scan History Details
Start Date: 04.06.2008 14:48:53
End Date: 04.06.2008 16:03:43
Total Time: 74 Min 50 Sec
Detected security risks
No risks were found during this scan.
         
Muss ich noch die Backupliste vom HiJack löschen?

Danke noch mal für deine Hilfe. Soll ich noch was tun?
Gruß

Alt 04.06.2008, 16:54   #11
schrauber
/// the machine
/// TB-Ausbilder
 

HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



warte noch mit der backup-liste.

führe bitte Malwarebytes Anti-Malware aus,poste das log sowie ein frisches hjt-log.

gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 06.06.2008, 16:53   #12
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Hallo hier der Scan von Antimalware:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.15
Datenbank Version: 834

17:50:25 06.06.2008
mbam-log-6-6-2008 (17-50-25).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 105615
Scan Dauer: 31 minute(s), 16 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
         
Mach noch mal jetzt einen HiJack-Scan

Alt 06.06.2008, 17:02   #13
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



So und hier noch mal ein HiJacklogfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:58, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http***google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.versatel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http**.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http***go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:*/go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [bacstray] BacsTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http:**update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137263298000
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://***.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http:*/fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http:**xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

--
End of file - 7156 bytes
         
Ist jetzt wohl alles in Ordnung?

Alt 06.06.2008, 17:48   #14
schrauber
/// the machine
/// TB-Ausbilder
 

HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



jepp,du bist sauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 06.06.2008, 22:33   #15
Vespucci
 
HiJack Backup liste löschen???ß - Standard

HiJack Backup liste löschen???ß



Yuhuu endlich.

Vielen Dank für deine ausführliche Hilfe Schrauber!!!

Antwort

Themen zu HiJack Backup liste löschen???ß
'tr/dropper.gen', adobe, antvir, auswerten, avast, avg, avira, bho, datei gelöscht, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, install.exe, internet explorer, logfile, löschen?, object, programm, scan, software, temp, tr/dropper.gen, trojan, trojaner, urlsearchhook, virus, windows, windows xp




Ähnliche Themen: HiJack Backup liste löschen???ß


  1. To Do Liste Neuinstallation Windows 8.1
    Alles rund um Windows - 19.11.2014 (1)
  2. Windows 7 - to do Liste -
    Plagegeister aller Art und deren Bekämpfung - 22.02.2010 (1)
  3. TR/Hijack.AG.2 erkannt, Antivir kann nicht löschen
    Mülltonne - 12.11.2008 (0)
  4. Trojaner löschen mithilfe von Hijack-LogFile
    Log-Analyse und Auswertung - 01.10.2008 (8)
  5. Hier ist meine Liste
    Mülltonne - 30.07.2008 (0)
  6. Liste der Logfile
    Log-Analyse und Auswertung - 08.10.2007 (1)
  7. Benutzer (Statistik & Liste)
    Lob, Kritik und Wünsche - 18.09.2007 (12)
  8. nun mal meine liste
    Log-Analyse und Auswertung - 11.07.2007 (3)
  9. Autovervollständigen-Liste im Browser löschen
    Alles rund um Windows - 24.01.2007 (4)
  10. mein HiJack-log was muss ich löschen?
    Log-Analyse und Auswertung - 21.12.2006 (1)
  11. Hijack logfile / was löschen was nicht?
    Mülltonne - 01.08.2006 (1)
  12. hijack file was löschen??
    Mülltonne - 10.06.2006 (1)
  13. Liste der Top 50 Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.10.2005 (6)
  14. Hilfe gegen CWS, Hijack akzeptiert Löschen nicht
    Log-Analyse und Auswertung - 10.11.2004 (1)
  15. spybot Ergebnis Liste
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (2)
  16. HiJack Log - bin unsicher was ich löschen kann
    Log-Analyse und Auswertung - 25.07.2004 (13)
  17. Liste der Ports?
    Plagegeister aller Art und deren Bekämpfung - 08.04.2003 (4)

Zum Thema HiJack Backup liste löschen???ß - Hallo ihr Lieben, vor zwei Tagen hat bei einem Scan AntVir wie folgt angeschlagen: Die Datei 'C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\{6994491D-D491-48F1-AE1F-E179C1FFFC2F}\FixUninstall.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan]. Daraufhin habe - HiJack Backup liste löschen???ß...
Archiv
Du betrachtest: HiJack Backup liste löschen???ß auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.