| |
| |||||||
Log-Analyse und Auswertung: danke für die hilfe, aber immer noch nicht alles okay.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.07.2004, 13:27
| #1 |
| |  danke für die hilfe, aber immer noch nicht alles okay. Hallo, ich danke erst mal für die schnelle hilfe Christian, also, es ist leider immer noch nicht vorbei. beim starten von windows kommen besagte meldungen: "y.exe nicht gefunden" und "y.exe aus der registry löschen falls... blablabla" *g* aber ich find zumindest bei regedit keinen eintrag für die y.exe. aber ehrlich gesagt kenn ich mich damit auch nur n bisschen aus, eher garnicht. und meine hijack-file sieht jetzt so aus: Logfile of HijackThis v1.98.0 Scan saved at 14:21:59, on 26.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\MSTask.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\WINNT\system32\CTHELPER.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Daemon-Tools\daemon.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\RF Wireless Mouse\cm20.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINNT\system32\ctfmon.exe C:\Programme\TV-Browser\tvbrowser.exe C:\Programme\Java\j2re1.4.2_04\bin\javaw.exe C:\Programme\frn_inbc\frn_inbc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ICQ\Icq.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Blackheart.BLACKHEA-P37M1N\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080 F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Mouse\cm20.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Startup: tvbrowser.lnk = C:\Programme\TV-Browser\tvbrowser.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{A258C637-6DCA-4F75-B938-902CECB6E8C1}: NameServer = 62.104.191.241 62.104.196.134 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll ist da noch irgendwas? übrigens die beiden einträge O14 kommen wieder obwohl ich die unter abgesichertem modus mit hijack gelöscht habe. ist sonst noch irgendwas faul? ich möchte den scheiss endlich loswerden. nervt irgendwie gewaltig. danke für hilfe. gruss Sentinel Beast |
|
26.07.2004, 13:40
| #2 |
| /// Mr. Schatten   | danke für die hilfe, aber immer noch nicht alles okay. Als erstes bring mal dies in Ordnung:
__________________MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) (auch wenn Du sonst nicht mit dem IE ins Inet gehen solltest Die beiden O14 fixen Ist dies O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot nach einem Neustart immer noch vorhanden? Wenn ja Fixen RunOnce bedeutet Starte EINMAL sollte ICQ prinzipiell sowas schiefes machen, mag man mich korrigieren O4 - HKLM\..\Run: [SxgTkBar] SxgTkBar.exe kenne ich jetzt auch nicht, musst mal selber googlen und auswerten
__________________ Geändert von Shadow (26.07.2004 um 13:49 Uhr) |
|
26.07.2004, 13:57
| #3 |
| | danke für die hilfe, aber immer noch nicht alles okay. danke für die antwort.
__________________wenn ich das richtig verstehe soll ich mir n neuen i-net explorer holen? und ja, die beiden O14 waren ja schon nach dem letzten fix wieder da. und das mit dem icq-teil werd ich ausprobieren. |
|
26.07.2004, 14:02
| #4 |
  | danke für die hilfe, aber immer noch nicht alles okay. In HijackThis markieren, dann Fix checked wählen: O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll System hier updaten: http://windowsupdate.microsoft.com |
|
26.07.2004, 14:47
| #5 |
| Gast | danke für die hilfe, aber immer noch nicht alles okay. Das hatten wir alles schonmal hier: http://www.trojaner-board.de/showthread.php?t=6495 Lösch nach dem fixen die Datei C:\WINNT\msopt.dll |
|
| Themen zu danke für die hilfe, aber immer noch nicht alles okay. |
| .inf, .pdf, adobe, askbar, bho, danke, dateien, drivers, einstellungen, explorer, gelöscht, hijackthis, hilfe, icq, internet, internet explorer, löschen, microsoft, nicht gefunden, nvcpl.dll, programme, regedit, registry, rundll, schnelle hilfe, software, starten, system, system32, tcpip, temp, träge, unter, update, userinit.exe, windows, wireless |
Linear-Darstellung
