Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Überprüfung meines Logfiles! (https://www.trojaner-board.de/11641-bitte-um-uberpruefung-meines-logfiles.html)

juhe1 04.01.2005 14:13
Bitte um Überprüfung meines Logfiles!
 
Hallo Leute,

könnte sich bitte jemand mal mein Logfile zu Gemüte führen und mir eine Aussage geben, ob ihr irgendwas auffälliges findet.

Ich muss dazu sagen, das ich gerade händisch die ietlbass.dll gelöscht und den Eintrag O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll gefixed habe.
Bemerkung: ohne in den abgesicherten Modus zu gehen!

Noch eine andere Frage, ich habe bei mit den Trend Micro (bin auch zufrieden soweit) im Einsatz und mit dem escan, habe ich bisher noch keinen Kontakt gehabt, würdet ihr empfehlen mit dem escan zu arbeiten. Ich habe auch noch ad-aware und cwshreder regelmässig am Laufen.

Logfile of HijackThis v1.98.2
Scan saved at 13:32:29, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.awmdabest.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33

Vielen Dank für euer bemühen.

Jürgen

chaosman 04.01.2005 14:19
@juhe1
wechsle in den abgesicherten modus und fixe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O15 - Trusted Zone: *.awmdabest.com
neu booten, ein neues HJT logfile hier posten
chaosman

juhe1 04.01.2005 15:07
Hallo chaosman,

merce für die schnelle Reaktion, also ich habe jetzt im abgesicheten Modus im User-Status, id besagten drei Themen gefixed. Hier das aktuelle Log-File,

Logfile of HijackThis v1.98.2
Scan saved at 15:06:45, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33

Ich habe mich dann im abgesicherten Modus auch noch mal als Admin eingeloggt, und da stand folgendes im Log-File, ich hab aber bisher noch nichts als Admin gemacht und auch hier nichts verändert. Im normalen Windows bin ich immer als User angemeldet!

Logfile of HijackThis v1.98.2
Scan saved at 14:59:27, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE

Sollte ich auch als Adimin die besagten Sachen fixen?

Danke für die Rückmeldung.

Jürgen

juhe1 04.01.2005 15:19
Hallo Leute,

hier noch einmal ein Log-File, das ich so eben vom HJT 1.99 mach habe lassen! Wie sieht es bei dem Aus?

Logfile of HijackThis v1.99.0
Scan saved at 15:21:37, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe

Serwas

Jürgen

Cidre 04.01.2005 15:25
Lade eScan AntiVirus

Abgesicherter Modus -> Fixe:
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe (file missing)

Führe danach dies aus:
http://www.trojaner-board.de/showpos...6&postcount=31

Scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

juhe1 04.01.2005 19:56
Hallo Leute,

ich habe jetzt alles so gemacht wie es Cidre unten angegeben hat, vom escan habe ich jetzt die üblichen Verdächtigen aus dem Log-File herauskopiert, den Rest der 279 gefundenen Viren, hat er im Quarantäne Verzeichnis vom Trend Micro gefunden. Das neuerste Log-File vom HJT 1.99 nachfolgend.

Wie soll ich jetzt mit den vom escan gefundenen Daten umgehen? Händisch Löschen?
Passt das HJT Log-File jetzt so weit?
Sollte ich das Quaratnäne-Verzeichnis vom Trend Micro/Ad-Aware auch mal löschen?

Tue Jan 04 18:32:05 2005 => **********************************************************
Tue Jan 04 18:32:05 2005 => eScan AntiVirus Toolkit Utility.
Tue Jan 04 18:32:05 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Tue Jan 04 18:32:05 2005 =>
Tue Jan 04 18:32:05 2005 => Support: support@mwti.net
Tue Jan 04 18:32:05 2005 => Web: http://www.mwti.net
Tue Jan 04 18:32:05 2005 => **********************************************************
Tue Jan 04 18:32:05 2005 => Version 4.7.7 (C:\bases\mwavscan.com)
Tue Jan 04 18:32:05 2005 => Log File: C:\bases\mwav.log
Tue Jan 04 18:32:05 2005 => Latest Date of files inside MWAV: 04 Jan 2005 17:00:52.

Tue Jan 04 18:32:05 2005 => Options Selected by User:
Tue Jan 04 18:32:05 2005 => Memory Check: Enabled
Tue Jan 04 18:32:05 2005 => Registry Check: Enabled
Tue Jan 04 18:32:05 2005 => StartUp Folder Check: Enabled
Tue Jan 04 18:32:05 2005 => System Folder Check: Enabled
Tue Jan 04 18:32:05 2005 => System Area Check: Disabled
Tue Jan 04 18:32:05 2005 => Services Check: Enabled
Tue Jan 04 18:32:05 2005 => Drive Check: Disabled
Tue Jan 04 18:32:05 2005 => All Drive Check :Enabled
Tue Jan 04 18:32:05 2005 => Folder Check: Disabled

Tue Jan 04 19:24:37 2005 => Total Files Scanned: 28122
Tue Jan 04 19:24:37 2005 => Total Virus(es) Found: 279
Tue Jan 04 19:24:37 2005 => Total Disinfected Files: 0
Tue Jan 04 19:24:37 2005 => Total Files Renamed: 0
Tue Jan 04 19:24:38 2005 => Total Deleted Files: 0
Tue Jan 04 19:24:38 2005 => Total Errors: 4
Tue Jan 04 19:24:38 2005 => Time Elapsed: 00:52:21

Tue Jan 04 19:24:38 2005 => ***** Scanning complete. *****
Tue Jan 04 19:24:38 2005 => Virus Database Date: 2005/01/04
Tue Jan 04 19:24:38 2005 => Virus Database Count: 114672

Tue Jan 04 19:24:38 2005 => Scan Completed.

File C:\WINDOWS\notepad.exe.tmp infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ipmk.exe infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\phhqd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\psis80ex.ax infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: No Action Taken.
File C:\Programme\VirtualDub\plugins\RadiumMP3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken.



Logfile of HijackThis v1.99.0
Scan saved at 19:58:54, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Juergen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pccguide] C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
O4 - HKLM\..\Run: [Pop3trap] C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{18F5D3D5-4546-4DD2-9028-E1C7C5A85904}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe


Mercn für euer Bemühen

Jürgen

Cidre 04.01.2005 20:04
Fixe diesen Eintrag noch:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zu den Ordner bzw. Dateien und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.

Das Löschen der Dateien sollte im abgesicherten Modus ausgeführt werden!

Danach dies ausführen
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131