|
Log-Analyse und Auswertung: Hilfe gegen CWS, Hijack akzeptiert Löschen nichtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.11.2004, 10:10 | #1 |
| Hilfe gegen CWS, Hijack akzeptiert Löschen nicht Hallo zusammen, ich habe mir auch den CWS gefangen und kann mir leider wohl nicht selbst helfen. Ich habe mir zwar HijackThis gezogen und auch den CWS Shredder, aber beide Tools helfen mir nicht weiter. HijackThis: Erkennt zwar den CWS, aber wenn ich die entsprechenden Einträge zum Fixen anklicke sind sie beim nächsten Scan wieder da. Auch ein manuelles Löschen aus der Registry ist nicht möglich. CWSShredder: Hier wird gar keine Infizierung erkannt. Anbei mein Log mit der Bitte um Hilfe. Besten Dank vorab. Logfile of HijackThis v1.98.2 Scan saved at 10:02:40, on 10.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Registry Defragmentation\RegManServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\GameDeviceDriver\RFPIcon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\systime.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Dokumente und Einstellungen\Thomy\Anwendungsdaten\stte.exe C:\WINDOWS\system32\systime.exe C:\WINDOWS\system32\w?wexec.exe C:\WINDOWS\twain_32\C6U14K\WATCH.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\regedit.exe C:\Dokumente und Einstellungen\Thomy\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\yuwaja.dll O2 - BHO: (no name) - {1AAB1359-BA47-7E96-D572-175504F67C69} - C:\WINDOWS\system32\hupxqgin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {BEA6559E-CC9F-34C4-A99A-FD31093B30F5} - C:\WINDOWS\system32\wideyei.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [RTBatteryMeter] C:\Programme\GameDeviceDriver\RFPIcon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Sase] C:\Dokumente und Einstellungen\Thomy\Anwendungsdaten\stte.exe O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe O4 - Global Startup: Watch.lnk = C:\WINDOWS\twain_32\C6U14K\WATCH.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dceabcca450006 O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://dominomaila.becom.com/iNotes6.cab greez DelPiero |
10.11.2004, 11:38 | #2 |
| Hilfe gegen CWS, Hijack akzeptiert Löschen nicht Hi,
__________________von CWS kann ich nichts sehen und deshalb auch der CWS-Shredder wohl nicht. Du hast unter anderem das hier . Wenn Du mit HJT fixen willst, dann nur im abgesicherten Modus bei deaktivierter Systemwiederherstellung! Du hast es "normal" gemacht, drum waren sie alle wieder da. Ich empfehle Dir noch im Anschluß, ebenfalls im abgesicherten Modus bei deaktivierter Systemwiederherstellung, einen eScan durchzuführen. Beachte, daß Du die infizierten Dateien selbst löschen mußt. Poste dann das eScan-Ergebnis (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) und ein neues Logfile hier rein.
__________________ |
Themen zu Hilfe gegen CWS, Hijack akzeptiert Löschen nicht |
adobe, bho, desktop, einstellungen, excel, explorer, firefox, hijack, hijackthis, hilfe, internet, internet explorer, log, löschen, mein log, microsoft, mozilla, mozilla firefox, pdf, programme, registry, scan, software, system, träge, windows, windows messenger, windows xp |