|
Plagegeister aller Art und deren Bekämpfung: TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.07.2004, 05:25 | #1 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... moin, moin, ich habe da gleich drei probleme, zwei trojaner und ein dailer. vielleicht kann mir ja jemand helfen diese dinger los zu werden, ich hab das nicht geschafft. mein antivir sagt zwar das da welche sind und auch wo die sind aber löschen tut es die nicht. da ich nicht wirklich der fachmann am pc bin hoffe ich so hilfe zu bekommen. ich habe mal den report vom antivir beigefügt. also, wäre toll wenn mir jemand helfen kann, vielen dank, sven Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\TEMP msmsgrc.exe [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes Dial/300796 (Dialer) WURDE GELÖSCHT! C:\_RESTORE\ARCHIVE FS118.CAB ArchiveType: CAB (Microsoft) --> A0026493.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026495.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026497.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026501.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026503.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026505.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO FS103.CAB ArchiveType: CAB (Microsoft) --> A0024473.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Asune.D FS119.CAB ArchiveType: CAB (Microsoft) --> A0026645.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026647.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026649.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO --> A0026651.CPY [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO FS116.CAB ArchiveType: CAB (Microsoft) --> A0026433.CPY [FUND!] Ist das Trojanische Pferd TR/Dialer.T.1 FS112.CAB ArchiveType: CAB (Microsoft) --> A0026131.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.BR.3 FS134.CAB ArchiveType: CAB (Microsoft) --> A0028136.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.BR.1 FS136.CAB ArchiveType: CAB (Microsoft) --> A0030136.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.BR.1 FS140.CAB ArchiveType: CAB (Microsoft) --> A0030312.CPY [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300756 (Dialer) Ende des Suchlaufs: 07.07.2004 08:22 Benötigte Zeit: 25:57 min 930 Verzeichnisse wurden durchsucht 39733 Dateien wurden geprüft 1 Warnung wurde ausgegeben 1 Datei wurde gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 17 Viren bzw. unerwünschte Programme wurden gefunden Geändert von svg (07.07.2004 um 08:15 Uhr) |
07.07.2004, 08:17 | #2 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... hallo, ich bin es nochmal,
__________________hab gesehen das die meisten hier mit HijackThis arbeiten. habe ich mir auch besorgt. vielleicht kann mir ja jetzt jemand helfen. wäre super, danke. Logfile of HijackThis v1.98.0 Scan saved at 09:11:55, on 07.07.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\THE CLEANER\TCA.EXE C:\PROGRAMME\THE CLEANER\TCM.EXE C:\WINDOWS\SSVR.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\NOTEPAD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O2 - BHO: ViewSource Class - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\SYSTEM\MSXSLAB.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Runner] C:\WINDOWS\csrss.exe /i O4 - HKLM\..\Run: [browser] C:\WINDOWS\browse.exe /i O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe O4 - HKLM\..\Run: [NAVCheck] C:\WINDOWS\ssvr.exe /i O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O16 - DPF: {11111111-1111-1111-1111-111111111111} - ms-its:mhtml:file://C:\x.mht!http://64.237.47.178/chm.chm::/1/e.exe O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL |
07.07.2004, 11:33 | #3 | ||||
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Lass bitte zunächst mal eScan laufen lassen (dabei auf Update achten)
__________________Anschließend bitte folgende Einträge fixen: Zitat:
Zitat:
Zitat:
Zitat:
Besser wäre jedoch der Umstieg auf einen anderen Browser! |
08.07.2004, 12:35 | #4 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... hallo radja, vielen dankfür deine mühe! ich habe escan gleich benutzt und mich nur noch gewundert. escan hat sage und schreibe 341 befallene datein gefunden und nach einem neustart des pc wohl auch gelöscht. danach habe ich noch die restlichen von dir für schlecht befundenen eintrage im HijackThis gefixed. ich glaube das schlimmste ist geschafft :aplaus: . nur antivir findet noch zwei sachen, einmal TR/Dldr.Asune.D und TR/Dialer.T.1 die lassen sich aber nicht löschen. und zu guter letzt meldet zonealarm immer mal wieder das sich eine navchk.exe zutritt ins internet verschaffen möchte. ich habe die datei bei kaspersky checken lassen, ist wohl in ordnung. ich weiß aber nicht was das sein soll. ich habe nochmal das neue logfile von antivir und HijackThis angehängt, vielleicht kannst du ja noch einmal rüberschauen. nochmals vielen dank!!! C: Festplatte Start des Suchlaufs: 08.07.2004 13:53 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\WINDOWS WIN386.SWP Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\_RESTORE\ARCHIVE FS103.CAB ArchiveType: CAB (Microsoft) --> A0024473.CPY [FUND!] Ist das Trojanische Pferd TR/Dldr.Asune.D FS116.CAB ArchiveType: CAB (Microsoft) --> A0026433.CPY [FUND!] Ist das Trojanische Pferd TR/Dialer.T.1 Ende des Suchlaufs: 08.07.2004 14:18 Benötigte Zeit: 24:42 min 940 Verzeichnisse wurden durchsucht 38128 Dateien wurden geprüft 1 Warnung wurde ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Viren bzw. unerwünschte Programme wurden gefunden Logfile of HijackThis v1.98.0 Scan saved at 13:11:58, on 08.07.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\THE CLEANER\TCA.EXE C:\PROGRAMME\THE CLEANER\TCM.EXE C:\WINDOWS\SSVR.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\NAVCHK.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/ O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "C:\BASES\MWAVSCAN.COM" /s O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\navchk.exe /i O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Ereigniserinnerung.lnk = C:\Program Files\Mindscape\PrintMaster\PMREMIND.EXE O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL Geändert von svg (08.07.2004 um 13:53 Uhr) |
26.07.2004, 23:17 | #5 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Hallo, hab mir leider auch diesen Trojaner eingefangen. Alle Windows-Einstellungen waren zurueckgesetzt, amerikanische Tastatur eingestellt (wie stell ich die wieder auf deutsch um?) und sowohl Startseite als auch Links mit www.t-online.de versehen. Was kann ich tun? Vielen Dank im Voraus fuer Eure Hilfe. Gruss, Martin Hier die Logfile: Logfile of HijackThis v1.98.0 Scan saved at 00:08:44, on 27.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\SANSUN\mouse_2k.exe C:\PROGRA~1\OPTICA~1\4DMAIN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Avant Browser\iexplore.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Dokumente und Einstellungen\Florian\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F0 - system.ini: Shell= F2 - REG:system.ini: Shell=Explorer.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Erinnerungsassistent - {63983FD2-298E-40B0-A246-D32FD0C9CACD} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\SANSUN\mouse_2k.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - (no file) O9 - Extra 'Tools' menuitem: per Telefon bieten... - {22A2519A-4093-4487-B932-313C969360DC} - (no file) O9 - Extra button: Erinnerungsassistent - {5D739D65-9CDF-4783-AD0E-C2166615787F} - (no file) O9 - Extra 'Tools' menuitem: per SMS erinnern... - {5D739D65-9CDF-4783-AD0E-C2166615787F} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay Deutschland - {C38AA9D7-640A-4e42-A1E8-F4F284A66592} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/germania.exe O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - http://p1x.de/jinstall-1_4_2-windows-i586.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.fantasy.de/webcam/AxisCamControl.ocx O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E9F4B326-5DA4-4D31-870A-9124EAF973BC}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll |
26.07.2004, 23:27 | #6 |
Gast | TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Fixen im abg. Modus: F2 - REG:system.ini: Shell=Explorer.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/germania.exe O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINDOWS\System32\xplugin.dll Datei C:\WINDOWS\System32\xplugin.dll dann suchen und löschen. Diese sind alle unwirksam, fixen: O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - (no file) O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - (no file) O9 - Extra 'Tools' menuitem: per Telefon bieten... - {22A2519A-4093-4487-B932-313C969360DC} - (no file) O9 - Extra button: Erinnerungsassistent - {5D739D65-9CDF-4783-AD0E-C2166615787F} - (no file) O9 - Extra 'Tools' menuitem: per SMS erinnern... - {5D739D65-9CDF-4783-AD0E-C2166615787F} - (no file) O9 - Extra button: eBay Deutschland - {C38AA9D7-640A-4e42-A1E8-F4F284A66592} - (no file) Bei den O16-Einträgen/Plugins musst du mal selbst schauen, welche du brauchst. Ansonsten fixen! |
27.07.2004, 12:57 | #7 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Hallo, vielen Dank. Ist es jetzt besser? Wie stelle ich wieder auf deutsche Tastaturbelegung um (WinXP)? Logfile of HijackThis v1.98.0 Scan saved at 13:51:27, on 27.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\SANSUN\mouse_2k.exe C:\PROGRA~1\OPTICA~1\4DMAIN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\Dokumente und Einstellungen\Martin\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=86822 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Erinnerungsassistent - {63983FD2-298E-40B0-A246-D32FD0C9CACD} - C:\Programme\mediaBEAM\Erinnerungsassistent\eaiext.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SANSUNMouse ] C:\Programme\SANSUN\mouse_2k.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\OPTICA~1\4DMAIN.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O17 - HKLM\System\CCS\Services\Tcpip\..\{E9F4B326-5DA4-4D31-870A-9124EAF973BC}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL ------ Was heisst das? O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de Ich habe doch als Startseite gar nicht www.t-online.de, hatte es aber nachdem mein Rechner "gesponnen" hat. |
27.07.2004, 21:04 | #8 |
Gast | TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Ok, dann mach dies auch raus: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de Deine Sprache stellst du unter Systemsteuerung -> Tastatur -> Reiter Sprache um. |
27.07.2004, 21:09 | #9 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Vielen Dank, habs gefixt. Aber das mit der Tastatur kann ich unter Systemsteuerung nicht finden... |
07.11.2004, 15:09 | #10 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Hallo und Entschuldigung, bin hier brandneu und möchte einen Beitrag bezügl. eines Probelms mit meinem Pc einstellen; wie habe ich einen eigenen Beitrag einzustellen? Vielen Dank für die Hilfe. Dr. Alpin |
07.11.2004, 15:17 | #11 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Hallo, im Folgenden meine Probleme lt. des soeben downgeloadenen Programms Hijackthis: Wer kann mir helfen, bin diesbzgl.blutiger Anfänger Logfile of HijackThis v1.98.2 Scan saved at 15:11:10, on 07.11.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\SAHAGENT.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\PROGRAMME\NAVISEARCH\BIN\NLS.EXE C:\PROGRAMME\SAVE\SAVE.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE C:\PROGRAMME\HARDCOPY\HARDCOPY.EXE C:\PROGRAMME\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE C:\PROGRAMME\KODAK\KODAK SOFTWARE UPDATER\7288971\PROGRAM\BACKWEB-7288971.EXE C:\MEINE DOWNLOADS\INCREDIMAIL\BIN\IMAPP.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\BULLSEYE NETWORK\BIN\BARGAINS.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EACCELERATION\EANTHOLOGY.EXE C:\PROGRAMME\ACCELERATION SOFTWARE\ANTI-VIRUS\STOPSIGNAV.EXE C:\PROGRAMME\WINDOWS MEDIA PLAYER\WMPLAYER.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE C:\MEINE DOWNLOADS\INCREDIMAIL\BIN\IMNOTFY.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.ez-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.search-exe.com/nph-search.cgi?tcode=exebar1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\SE\V11\SE.DLL O2 - BHO: (no name) - {98C5BCDF-1A9E-DE34-2E69-BEDA5C8BF26F} - C:\WINDOWS\SYSTEM\ltunoqkf.dll (file missing) O2 - BHO: (no name) - {EF0CE1CA-439E-E6CA-4CD5-1A39A0541EDE} - C:\WINDOWS\SYSTEM\mvdorxvm.dll (file missing) O2 - BHO: (no name) - {EFAA3E2C-4EB5-1E39-22DF-893DC1FFA9EE} - C:\WINDOWS\SYSTEM\qtxoqcii.dll (file missing) O2 - BHO: (no name) - {BA3A3BDB-654B-0C4E-166B-A6CDECA569FA} - C:\WINDOWS\SYSTEM\mmyyantt.dll (file missing) O2 - BHO: (no name) - {A4A4686E-4DE8-07D1-D94A-5FAE888313DE} - C:\WINDOWS\SYSTEM\hauvxrqx.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\SYSTEM\APUC.DLL (file missing) O2 - BHO: (no name) - {ACB3E0B7-7D0C-40B7-99B3-3EEACDF86BFB} - C:\WINDOWS\MSLAGENT\4B_1,0,1,1_MSLAGENT.DLL (file missing) O2 - BHO: WebBho Class - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\SE\V11\SE.DLL O2 - BHO: (no name) - {FDFE1BDC-4DAC-34BC-E511-12DFB0439A45} - C:\WINDOWS\SYSTEM\oblixueg.dll O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\BXXS5.DLL (file missing) O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\SYSTEM\NVMS.DLL O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\SYSTEM\MSCB.DLL O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\SYSTEM\MSBE.DLL O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAMME\ISTBAR\ISTBAR.DLL (file missing) O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL (file missing) O3 - Toolbar: Related Page - {8445E342-9840-451A-A796-9C8EDC565B6D} - C:\WINDOWS\SYSTEM\WINNB42.DLL (file missing) O3 - Toolbar: FWN Toolbar - {3D0BDAB3-12F4-471C-8966-E35A2C6C7DE7} - C:\WINDOWS\SYSTEM\FWNTOOLBAR.DLL (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [msbb] C:\PROGRAMME\N-CASE\MSBB.EXE O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\SYSTEM\SahAgent.exe O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe" O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [Search-Exe] "C:\PROGRAMME\SE\V11\SE.EXE" /H O4 - HKLM\..\Run: [BEI] C:\WINDOWS\BEI.exe O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [rbenh ml808e] "C:\Programme\RBEnhance\rbenh.exe" O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [EanthologyApp] "C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe" /b Startup O4 - HKLM\..\Run: [webscan] C:\PROGRAMME\ACCELERATION SOFTWARE\ANTI-VIRUS\STOPSIGNAV.EXE -k O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ChangeAOLRunOnce] C:\Windows\System\ChangeAOLRunOnce.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [IncrediMail] C:\MEINED~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\MSLAGENT_.EXE O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm Danke Dr. Alpin [edit] links entfernt [/edit] Geändert von GUA (02.10.2005 um 00:40 Uhr) |
07.11.2004, 16:06 | #12 |
Gast | TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Du hast sehr viel Malware drauf. Scanne mal hiermit: http://www.trojaner-board.de/42731-escan-anleitung.html Vielleicht finden wir was, dass noch nicht erkannt wird. Sinnvoll: 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten |
18.08.2005, 22:34 | #13 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... hallo alle zusammen habe mir das trojanische pferd TR/Small.EV.6 eingefangen . kenne mich mit dieser ganzen schose nicht aus, deswegen bitte ich euch um hilfe. des ding hat mi komplet die oberfläche verschoben kann unter meinen grafik einstellungen nichts mehr verändern. hab ein desktopbild mit einem link und all so sachen wäre euch sehr verbunden wenn ihr mir helfen könntet danke im voraus hier mein HijackThis logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:18:23, on 18.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\XFire.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Mp3tag\Mp3tagQuickPick.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\eMule\emule.exe C:\Programme\iTunes\iTunes.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\shnlog.exe C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE C:\WINDOWS\system32\intmon.exe C:\WINDOWS\system32\intmonp.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Maxthon\Maxthon.exe C:\Programme\TuneUp Utilities 2004\Integrator.exe C:\Programme\TuneUp Utilities 2004\DiskCleaner.exe C:\WINDOWS\popuper.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\thirtytwo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.bestwebslinks.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.bestwebslinks.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.bestwebslinks.com/ F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\system32\hp5BEF.tmp O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [XFire] C:\WINDOWS\system32\XFire.exe /minimize O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Mp3tag Quick Pick.lnk = C:\Programme\Mp3tag\Mp3tagQuickPick.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = ? O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C03AB714-1409-448B-A18A-2D0469E6863E}: NameServer = 192.168.0.1,212.202.241.1 O20 - Winlogon Notify: style2 - C:\WINDOWS\q194283343_disk.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe antivir hat das ding auch gefunden aber was soll es mit der datei dann machen?löschen, verschieben oder??? ich dreh noch durch hoffe ihr könnt mir helfen. ich trau mich ´kaum meinen rechner auszumachen. mfg der M4D [edit] links entfernt [/edit] Geändert von GUA (02.10.2005 um 00:38 Uhr) |
04.09.2005, 01:19 | #14 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... @m4d O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe diesen wert hätte ich an deiner stelle nicht aufgelistet Du weisst was ich meine.........Wasserversion! skullz |
02.10.2005, 00:24 | #15 |
| TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... Hallo! ... mfg arminus [edit] bitte mache für dein problem einen eigenen beitrag auf, sonst weiß hinterher keiner mehr, wer hier wem hilft. danke [/edit] Geändert von GUA (02.10.2005 um 00:37 Uhr) |
Themen zu TR/Small.Dld.FO TR/Dldr.BR3 TR/Dldr.BR1... |
antivir, auslagerungsdatei, dateien, dialer, dinger, fehler, fehlercode, festplatte, fund, gesperrt, helfen, hilfe, laufwerk, laufwerk c, löschen, microsoft, pferd, probleme, signatur, trojaner, trojanische, trojanische pferd, viren, warnung, zugriff, zugriff verweigert, zwei trojaner, _restore |