Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich weis nicht mehr weiter (https://www.trojaner-board.de/11205-weis-mehr.html)

xPLUTOx 25.12.2004 15:32
Ich weis nicht mehr weiter
 
Hallo Leute ich hab da (für mich) ein riesen Problem und weis nicht mehr weiter.Seit 2 Tagen läuft mein Pc nicht mehr richtig wenn ich zum Beispiel
Fifa 2004 Online spielen will bricht mein Pc komplett ab und ich kann nur den Ausknopf am Pc drücken damit ich wieder irgendwas am Pc machen kann.
Ich kann auch keine Systmwiederherstellung mehr machen.Hab mit Antivir einen Scan gemacht und der findet kein Virus er gibt mir nur 25 Warnungen
(aber nicht wo)hab dann mit McAffe einen onlinescan gemacht und der findet mir 3 Viren Exploit-MhtRedir.gen,Exploit-ObjectData.gen und JS/Exploit_MhtRedir.idr
Vielleicht könnt ihr mir weiterhelfen
Hab aber leider noch ein Problem ich hab von Computern wenig Ahnung also schreibt wenn möglich die Lösung auch so das ich als Neuling das versteh


Das ist meine Auswertung mit HijackThis-Log


O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1BDD55B8-3985-4E59-B906-5E0AD56D6710} - (no file)
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: Metamail IEPlugin - {C09C9904-FD44-11D6-A711-00105AC8F168} - C:\PROGRA~2\METAMA~1\METAMA~1\IE\IEPlugIn.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int198536.exe -auto
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Erotik - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)
O9 - Extra 'Tools' menuitem: Erotik... - {94EBE4E4-26C4-4129-8EE1-8B8BD0464A44} - http://www.wobz.de/?ref=16200&&id=1796005 (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236b856b...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...16/mcfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Cyberstriker 25.12.2004 15:59
Hi

Guck dir mal das HIER an !

xPLUTOx 25.12.2004 16:02
was heist "muß gefixt werden" ?
und wie funktioniert das ?

xPLUTOx 25.12.2004 16:22
Ok ich habe jetzt gefixt und das ist mein
neues HijackThis-Log
aber ich kann immer noch nicht Fifa2004 spielen oder
eine Systemwiederherstellung machen
Wer kann weiter helfen ?



Logfile of HijackThis v1.99.0
Scan saved at 16:20:39, on 25.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\isrvs\desktop.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\KLAUS-~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: Metamail IEPlugin - {C09C9904-FD44-11D6-A711-00105AC8F168} - C:\PROGRA~2\METAMA~1\METAMA~1\IE\IEPlugIn.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236b856b...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...16/mcfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

*Christian* 26.12.2004 01:47
Sende die Dateien:

C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\sysupd.dll

zur Überprüfung bitte an partytime-germany.ice@web.de

xPLUTOx 26.12.2004 14:21
Zitat:
Zitat von *Christian*
Sende die Dateien:

C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\isrvs\sysupd.dll

zur Überprüfung bitte an partytime-germany.ice@web.de
Ok hab ich gemacht
hoffe du kannst mir helfen

Cidre 26.12.2004 14:29
Fixe nun diese Einträge und lösche auch diesen Ordner C:\WINDOWS\isrvs:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cus...//www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cus...//www.yahoo.comO2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Zur Sicherheit:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

btw:- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

xPLUTOx 26.12.2004 19:39
Hab mit eScan alles durchlaufen lassen der hat mir 11 Dateien mit einem Virus angezeigt ich weis aber nicht wie man das hier Postet
was soll ich nun machen ? :confused:

Cidre 26.12.2004 19:45
Ich hatte es dir zwar schon beschrieben...:crazy:
Zitat:
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

xPLUTOx 26.12.2004 20:01
wie soll das gehen ?
ich kann nach dem Scan nix öffnen
das einstigste was ich kann ist auf "View Log"drücken
und da den ganzen Text abspeichern aber dieser Text ist
ganz lang

Haui45 26.12.2004 20:03
Navigiere zum Verzeichnis C:\bases , darin findest du die mwav.log. Dann das machen was Cidre gepostet hat.

xPLUTOx 26.12.2004 20:22
Wie bereits gesagt ich hab von Computern keine Ahnung
vielleicht bin ich auch nur zu blöd um zu kappieren wie ihr das meint
Könnt ihr mir das vielleicht für Ahnungslose schreiben damit auch ich das versteh
1000 Dank an alle

Cidre 26.12.2004 20:33
Wenn du solche banalen Sachen nicht nachvollziehen kannst, dann solltest du dich mal ernsthaft mit der Materie beschäftigen.

Klicke auf View Log und danach dasselbe wie schon beschrieben:
Zitat:
Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

xPLUTOx 26.12.2004 21:17
Hoffe das ist das richtige was ihr benötigt um mir zu helfen
das ist nur ein Teil hab noch nicht alles kopiert
da ich nicht weis ob es richtig ist
wenn ja dann folgt der rest auch gleich



Sat Dec 25 19:34:42 2004 => File C:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken.

Sat Dec 25 19:35:14 2004 => File C:\WINDOWS\system32\netpe32.dll infected by "TrojanDownloader.Win32.Wintrim.bb" Virus. Action Taken: No Action Taken.

Sat Dec 25 19:36:26 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Sat Dec 25 19:48:15 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sat Dec 25 20:11:26 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037048.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:26 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037049.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:27 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037128.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:27 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037129.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:28 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037135.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:32 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037169.dll infected by "Trojan.Win32.P2E.f" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:11:32 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037170.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken

Sat Dec 25 20:11:34 2004 => Scanning File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037198.ini

Sat Dec 25 20:12:16 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP88\A0016615.dll infected by "TrojanDownloader.Win32.Small.zk" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:33:32 2004 => File C:\WINDOWS\system32\EGAUTH.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:34:09 2004 => File C:\WINDOWS\system32\netpe32.dll infected by "TrojanDownloader.Win32.Wintrim.bb" Virus. Action Taken: No Action Taken.

Sat Dec 25 20:37:24 2004 => Total Disinfected Files: 0

Sat Dec 25 21:14:27 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip

Sat Dec 25 21:14:27 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

c 25 21:15:32 2004 => Total Disinfected Files: 0

Sat Dec 25 21:17:25 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sat Dec 25 21:51:11 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037048.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:11 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037049.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:12 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037128.exe infected by "not-a-virus:AdWare.Gator.5206" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:12 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037129.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:12 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP118\A0037135.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.



Sat Dec 25 21:51:16 2004 => Scanning File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037170.dll

Sat Dec 25 21:51:16 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037170.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:18 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0037197.dll infected by "not-a-virus:AdWare.Toolbar.ISearch.a" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:23 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0039258.dll infected by "TrojanDownloader.Win32.Wintrim.bb" Virus. Action Taken: No Action Taken.

Sat Dec 25 21:51:24 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP122\A0039260.dll infected by "Trojan.Win32.P2E.g" Virus. Action Taken: No Action Taken

Sat Dec 25 21:51:57 2004 => File C:\System Volume Information\_restore{9F6045A7-9A1A-43CB-993D-C03AB8FAF842}\RP88\A0016615.dll infected by "TrojanDownloader.Win32.Small.zk" Virus. Action Taken: No Action Taken.

Sat Dec 25 22:14:55 2004 => Total Disinfected Files: 0

Sat Dec 25 22:42:28 2004 => Total Disinfected Files: 0

Sun Dec 26 15:36:31 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 15:37:09 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 15:38:34 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Sun Dec 26 15:46:06 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 15:46:26 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 15:54:53 2004 => Total Disinfected Files: 0

Sun Dec 26 16:00:44 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 16:01:05 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 16:02:11 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Cidre 26.12.2004 21:25
Wechsle in den abgesicherten Modus und deaktiviere die Systemwiederherstellung, siehe http://www.bsi.bund.de/av/texte/wiederher_xp.htm .

Lösche diese Dateien (Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK")

C:\WINDOWS\system32\EGAUTH.dll
C:\WINDOWS\system32\netpe32.dll

Mit Hilfe von ClearProg die Temp und Temporary Internet Files Ordner leeren

xPLUTOx 26.12.2004 21:34
Ok das ist der Rest
@Cidre ich werd jetzt machen was du gesagt hast und dan schau mer mal



Sun Dec 26 16:02:11 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\GAINDashBar.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Sun Dec 26 16:09:30 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

16:09:50 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 16:28:56 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sun Dec 26 16:28:56 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\LOADERADV480.JAR-3D101F41-398250E1.ZIP.VIR

Sun Dec 26 16:28:56 2004 => File C:\Programme\AVPersonal\INFECTED\LOADERADV480.JAR-3D101F41-398250E1.ZIP.VIR infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.


Sun Dec 26 16:28:56 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\PROMPT[1].HTM.VIR

Sun Dec 26 16:28:56 2004 => File C:\Programme\AVPersonal\INFECTED\PROMPT[1].HTM.VIR infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken


Sun Dec 26 18:00:16 2004 => Total Disinfected Files: 0

Sun Dec 26 19:48:05 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 19:48:25 2004 => File C:\DOKUME~1\KLAUS-~1\LOKALE~1\TEMPOR~1\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 19:52:37 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0AUVAM6F\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 19:52:42 2004 => File C:\Dokumente und Einstellungen\Klaus-Herbert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\B4O3STX2\adv480[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Sun Dec 26 20:00:46 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Sun Dec 26 20:00:46 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\LOADERADV480.JAR-3D101F41-398250E1.ZIP.VIR

Sun Dec 26 20:00:46 2004 => File C:\Programme\AVPersonal\INFECTED\LOADERADV480.JAR-3D101F41-398250E1.ZIP.VIR infected by "Trojan.Java.ClassLoader.h" Virus. Action Taken: No Action Taken.

Sun Dec 26 20:00:46 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\PROMPT[1].HTM.VIR

Sun Dec 26 20:00:46 2004 => File C:\Programme\AVPersonal\INFECTED\PROMPT[1].HTM.VIR infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Sun Dec 26 20:42:44 2004 => Total Disinfected Files: 0

xPLUTOx 26.12.2004 22:05
So das ist mein neuer HijackThis-Log
und wie siehts aus ?



Logfile of HijackThis v1.99.0
Scan saved at 22:02:48, on 26.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\isrvs\desktop.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\windows\pulpit.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\AIM95\aim.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\KLAUS-~1\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: Metamail IEPlugin - {C09C9904-FD44-11D6-A711-00105AC8F168} - C:\PROGRA~2\METAMA~1\METAMA~1\IE\IEPlugIn.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [DesktopProf] c:\windows\pulpit.exe ukrt
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236b856b...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...16/mcfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

MountainKing 26.12.2004 22:14
Ein paar der schon als zu fixend aufgeführten Sachen sind noch da. Deaktiviere die Systemwiederherstellung und fixe im abgesicherten Modus:

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Hierbei handelt es sich wohl um einen Dialer, wenn du also NICHT ausschließlich über DSL ins Netz gehst, sichere diese Datei auf einer Diskette

O4 - HKLM\..\Run: [DesktopProf] c:\windows\pulpit.exe ukrt

Fixe dann alle Einträge und lösche die in ihnen enthaltenen Dateien.

xPLUTOx 26.12.2004 22:50
Zitat:
Zitat von MountainKing
Ein paar der schon als zu fixend aufgeführten Sachen sind noch da. Deaktiviere die Systemwiederherstellung und fixe im abgesicherten Modus:

O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Hierbei handelt es sich wohl um einen Dialer, wenn du also NICHT ausschließlich über DSL ins Netz gehst, sichere diese Datei auf einer Diskette

O4 - HKLM\..\Run: [DesktopProf] c:\windows\pulpit.exe ukrt

Fixe dann alle Einträge und lösche die in ihnen enthaltenen Dateien.
Ok hab ich gemacht leider funktioniert meine Systemwiederherstellung immer noch nicht und Fifa 2004 zocken geht auch net
Ich kann auch keine Ordner mehr löschen da wird mir der Zugriff verweigert
und eScan gaht auch nicht da steht ist keine gültige win32 anwendung

MountainKing 26.12.2004 23:14
Was genau meinst du damit, dass deine Systemwiederherstellung nicht funktioniert? Du sollst ja keine Sysemwiederherstellung machen, sondern sie nur vorübergehend deaktivieren und dann wieder einschalten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

xPLUTOx 26.12.2004 23:24
Zitat:
Zitat von MountainKing
Was genau meinst du damit, dass deine Systemwiederherstellung nicht funktioniert? Du sollst ja keine Sysemwiederherstellung machen, sondern sie nur vorübergehend deaktivieren und dann wieder einschalten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Hab ich ja alles gemacht nur seid ich dieses Problem mit dem Virus hatte ging keine Systemwiederherstellung jetzt hatt ich die Hoffnung wo dieses Problem(Virus) weg ist funktioniert die Systemwiederherstellung wieder aber dies ist nicht der Fall und wie bereits gesagt ich kann jetzt auch keine Datein oder Ordner löschen weil mir überall der Zugriff verweigert wird

MountainKing 26.12.2004 23:49
Also heisst das, dass du die Systemwiederherstellung, also das Programm an sich, nicht mehr starten kannst? Welche Meldung kommt da genau? Kannst du die Dateien auch im abgesicherten Modus nicht mehr löschen? Probiere das fixen und löschen im abgesicherten Modus mal ohne die Systemwiederherstellung vorher auszuschalten.

xPLUTOx 26.12.2004 23:53
Wenn ich auf Start-Zubehör-Systemprogramme-und dann auf Systemwiederherstellung drücke passiert gar nichts
es springt ganz normal wieder zurück zu dem Programm/Desktop wo ich grad war

Die Daten sind bereits gelöscht und gefixt

Cidre 27.12.2004 00:20
Überprüfe unter Start -> Ausführen -> services.msc -> Rechtsklick auf Systemwiederherstellungsdienst -> Starttyp und Dienststatus und teile es uns mit

xPLUTOx 27.12.2004 00:26
Starttyp = Automatisch
Dienstdtatus = Gestartet



Jetzt mus ich mal was im Namen aller Hilfesuchenden sagen
DANKEdas ihr uns immer helft

MountainKing 27.12.2004 00:33
Wie versuchen es zumindest. :) Sind deine Probleme denn jetzt weg? Poste noch mal ein Logfile.

xPLUTOx 27.12.2004 00:40
Hier ist mein neues Logfile die Systemwiederherstellung funktioniert noch nicht aber ich glaub da schaut bzw da krüppelt grad Cidre rum
Werd jetzt noch schnell mein Fifa 2004 wieder installieren und dann mal schauen ob das wieder geht


Logfile of HijackThis v1.99.0
Scan saved at 00:40:17, on 27.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\AIM95\aim.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\DOKUME~1\KLAUS-~1\LOKALE~1\Temp\Temporäres Verzeichnis 11 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Metamail IEPlugin - {C09C9904-FD44-11D6-A711-00105AC8F168} - C:\PROGRA~2\METAMA~1\METAMA~1\IE\IEPlugIn.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/236b856b...dxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...16/mcfscan.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

*Christian* 27.12.2004 00:56
Außer dass Java Sun noch nicht aktualisiert wurde, fällt mir nix auf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131