|
Virus im Archiv Sevus. ich habe gestern 5 Viren oder andere gefährliche Programme auf meinem PC gefunden. Mein AntiVir kann sie nicht löschen, da sie in einem Archiv sind. Ich habe mir vorhin HijackThis herrunter geladen, weis aber nicht allzuviel damit anzufangen. Hier folgt gleich der HijackThis scann. Ich hoffe mir kann jemand helfen. Ich habe im übrigen net wirklich viel Ahnung von PCs also wär es schön wenn man mir die zu erledigen Schritte vereinfacht erklären könnte. Logfile of HijackThis v1.98.2 Scan saved at 17:30:19, on 08.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/...64106/thin.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 Vielen Dank schonmal. Mfg. Pudarusa |
Hallo, poste mal den genauen Pfad der einzelnen Funde. Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll (file missing) O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com...T64106/thin.cab Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
das kam bei eScan herraus: File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\a[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[1].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[2].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[3].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\fuck[4].htm infected by "Exploit.HTML.ObjData" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[1].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\hornywetbabes[2].com infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\installer[1].htm infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[1].php infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[2].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\prompt[3].php infected by "TrojanDropper.JS.Gen" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[1].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript[2].js infected by "TrojanDownloader.Java.Small.b" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\Paddi\LOKALE~1\TEMPOR~1\Content.IE5\4KAH0A86\shellscript_loader[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: No Action Taken. Und mein HijackThis sieht folgendermaßen aus: Logfile of HijackThis v1.98.2 Scan saved at 21:37:24, on 11.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\eMule\emule.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bademeister89.de.vu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 Danke schonmal. |
@Puderusa lade dir hier clearprog programm starten, alle häkchen bei windows und IE setzen, löschen. dann bist du das meiste los. den hier würde ich in abgesicherten modus manuell löschen File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus neu starten chaosman |
ich habe jetzt bei Windows alle häkchen gemacht und gelöscht. Beim löschen von den Tempo. Internet Files (Cache) im IE bleibt das programm allerdings immer hängen. Den rest konnte ich problemlos löschen........ |
|
Sorry das ich mich solang net gemeldet habe. Hatte zuviel Stress. Nur um nochmal genau nach zu fragen: Das löschen von: File C:\WINDOWS\system32\intron.exe infected by "Trojan.Win32.StartPage.lb" Virus Da soll ich jetzt also unter system32 nach intron.exe schauen und den einfach löschen???? Weil mir das löschen unter dem Windows ordner ist mir net so ganz geheuer. zumal ich mal meinen AntiVir über diese Datei habe laufen lassen und dieser mir nichts anzeigt. |
Zitat:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Zitat:
|
Ich krieg gerade die Kriese. :headbang: Jetzt habe ich des intron.exe ding gelöscht und jetzt zeigt mir eScan diesen Schmarn hier an: File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\internst32.exe infected by "Trojan.Win32.StartPage.lb" Virus. Action Taken: No Action Taken. Die waren vorher noch net da. soll ich diese auch wieder löschen?? (dumme Frage natürlich) Aber das irritiert mich schon ein bissl. |
@Pudarusa kuckst du hier http://sarc.com/avcenter/venc/data/p...artpage.b.html in den abgesicherten modus wechseln und manuell löschen. escan hat ein hohe erkennungsrate. chaosman |
Nur zum Verständnis: Bist du mit dem kompromittierten Rechner im Moment online? Wenn JA, dann schleunigst alle beenden und in den abgesicherten Modus wechseln. Sonst werden sich noch mehr Datei urplötzlich erstellen! |
sorry aber das Versteh ich jetzt gerade net so wirklich. was ich jetzt mit dem Link anfangen soll hab ich auch keine Ahnung. Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen? |
@Pudarusa warum postet man links? zum nachlesen. Also soll ich jetzt in den Abgesicherten Modus wechseln und diese 3 datein löschen? wie Cidre schon postete, so schnell wie möglich! chaosman |
Ja entschuldigung, das ich wegen dem Link nochmal nachgefragt habe mein Englisch ist net das beste habe erst net ganz gerafft, was mir das bringen sollte. Aber ich glaube, jetzt hat es geklappt. :) :) :) Juchu Party!!!!!! :) eScan zeigt mir nichts mehr an. Hätte dann aber noch ne Frage: Habe mir gestern auch die neue Version von HijackThis heruntergeladen und das dann mal mit der Automatischen Auswertung getestet. da kam bei mir aber bei raus, das einige Programme nicht erkannt werden konnten. Könntet ihr eventuell mal einen Blick darauf werfen? Logfile of HijackThis v1.99.0 Scan saved at 21:55:30, on 29.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\system32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Paddi\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Verknüpfung mit AVGNT.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Startup: Verknüpfung mit AVGUARD.lnk = C:\Programme\AVPersonal\AVGUARD.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094052312937 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{6F6A7DE1-20FD-4D92-A997-2444AC3A8FE9}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
Fixe diesen Eintrag: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.selfsearch.biz Ansonsten sehe ich keine Auffälligkeiten mehr. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board