|
Hilfe! Trojaner: TR/StartPage.qr.DLL + TR/Delprot.A + mehr... Bitte check logfile... hallo... hierunter ein computer problem auf english. ich hoffe dass ist kein problem. auf jeden fall, ihr koennt ruhig auf deutsch antworten. danke im voraus! edo hello, my girlfriends computer has big problems and we really dont know how to solve it. the antivir program recognises the following trojan horses: "TR/StartPage.qr.DLL" "TR/Delprot.A" "TR/Dldr.leser.A" however, antivir is not able to remove them, since they happen to be locked or so. restarting windows does not help either. antivir keeps reminding you of these trojans every time you try to open a file or start a program, which is quite annoying. i tried an updated version of spybot. it found the following: "effective band toolbar" however, spybot seems not to be able to remove it, since it keeps finding it after reloading windows. also, there's an annoying search bar in the right corner of the screen. what is this? is says: "search the web" and the internet explorer is probably hijacked. it opens in a search site. i tried CWShredder but the file it found (called "CWShidden.Dll") cannot be removed (it returns after restarting windows) can anyone please take a look at the hijack-logfile (below) and tell me what to do? that would be great. would starting windows in the safe mode and then running a antivirus program help? or is that risky? i do not know much about computer, and neither does my girlfriend, so the more instructions the better! thanks in advance! edo ps: i hope i copypasted the logfile in the right way! please let me know if not and i'll try something else. Logfile of HijackThis v1.99.1 Scan saved at 5:03:20 PM, on 4/5/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\isrvs\desktop.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Windows NT\Zubehör\wordpad.exe C:\WINDOWS\System32\rundll32.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O2 - BHO: (no name) - {955BCA3B-4499-4AEB-B57B-8C75366E5DDA} - C:\WINDOWS\System32\ghli.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O18 - Filter: text/html - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll O18 - Filter: text/plain - {04BB0F7E-0A38-485A-A336-3E65E0C59E57} - C:\WINDOWS\System32\ghli.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
|
hmm... ich habe das tool ausgefuehrt, aber jetzt oeffnet mein internet explorer nicht mehr und kann ich also der neuen hijackthis logfile nicht posten. habe ich was falsch gemacht? wie kann ich dafuer sorgen das internet explorer wieder funktioniert? danke im voraus, edo |
ich habe es via msn doch geschafft online zu kommen. also hier den neuen logfile. hoffentlich hilft es! danke im voraus! Logfile of HijackThis v1.99.1 Scan saved at 10:26:01 AM, on 4/7/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
hi gigamail, ich glaube dein tool hat geholfen. kaspersky anti virus hat gestern keine viren mehr gefunden, und auch cwshredder hat nichts mehr gefunden. das einzige ist dass internet explorer jetzt nicht mehr funktioniert. wie kann das sein und was kann ich tun? und wie bin ich eigentlich ueberhaupt sicher ob der computer viren- und trojanerfrei ist? kannst du vielleicht den letzten logfile noch mal durchschauen? danke! edo |
Hi edo, 1.) Bitte poste einmal das Logfile des Cleaners 2.) Mache einen Scan mit Kaspersky AV über den kompletten Rechner, im abgesicherten Modus und teile uns evtl. Virenfunde mit. 3.) Wegen des IE kannst Du die Wiederherstellung über Software -> InternetExplorer -> Reparieren versuchen... |
internet explorer funktioniert wieder. danke! hm, eigentlich hat der cleaner (SpSeHjix112) nur den computer neu gestartet. es wurden dann keine weitere schritte ausgefuehrt. und ich weiss also nicht welche "logfile des cleaners" du meinst... wo und wie kann ich das finden? oder habe ich irgenwas falsch gemacht? |
Wenn der Cleaner ein Reebot erzwungen hat, hat er auch etwas zum cleanen gefunden... ;) In dem Verzeichnis, wo du den Cleaner abgelegt hast, sollte es auch eine Datei namens SPSeHjFix.log geben. Das ist die Log-Datei, welche während der Bereinigung erstellt wurde. |
es ist komisch. der antivirus scan hat keine viren gefunden. aber von dem antivirus monitor kam gestern und heute eine meldung das es in dem ordner System Volume Information ein virus gibt. die meldung war: System Volume Information\_restore{..........}\RP150\A0034019.exe is the virus: Trojan.win32.Delprot.a vor drei tage hatte der computer dieser virus auch. aber ich dachte es war gelöscht weil kaspersky hat es nicht mehr gefunden. jetzt taucht es wieder auf, aber auf einem völlig anderen location (naemlich in system volume inf.). das ist komisch. es ist auch komisch das kaspersky es nicht findet bei dem normalen scan (sowohl in abgesichteren als auch in normalen modus). aber der virusmonitor findet es. ich kann system volume information nicht scannen glaube ich. was ist los? was kann ich tun? und ich habe den logfile von SPSeHjFix - Editor gefunden. Ich musste es zwei mal ausfuehren, also kommt der log zwei mal: (4/7/05 10:19:30 AM) SPSeHjFix started v1.1.2 (4/7/05 10:19:30 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/7/05 10:19:30 AM) Language: english (4/7/05 10:19:30 AM) Win-Path: C:\WINDOWS (4/7/05 10:19:30 AM) System-Path: C:\WINDOWS\System32 (4/7/05 10:19:30 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/7/05 10:20:11 AM) Disinfection started (4/7/05 10:20:11 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll (4/7/05 10:20:11 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll (4/7/05 10:20:11 AM) Searchassistant Uninstaller - Keys Deleted (4/7/05 10:20:11 AM) UBF: 9 - UBB: 3 - UBR: 18 (4/7/05 10:20:11 AM) FilterKey: HKCR\text/html (deleted) (4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (deleted) (4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (4/7/05 10:20:11 AM) FilterKey: HKCR\text/plain (deleted) (4/7/05 10:20:11 AM) FilterKey: HKCR\CLSID\{BF405B28-8BA2-42D8-B37C-83A4D324D777} (error while deleting) (4/7/05 10:20:11 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (4/7/05 10:20:11 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted) (4/7/05 10:20:11 AM) BHO-Key: HKCR\CLSID\{8C897346-3B81-4F47-85D4-EECE1050CE25} (deleted) (4/7/05 10:20:11 AM) UBF: 7 - UBB: 2 - UBR: 18 (4/7/05 10:20:11 AM) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (4/7/05 10:20:11 AM) Stealth-String not found (4/7/05 10:20:12 AM) File added to delete: c:\windows\system32\ghli.dll (4/7/05 10:20:12 AM) Reboot (4/7/05 10:21:46 AM) SPSeHjFix started v1.1.2 (4/7/05 10:21:46 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/7/05 10:21:46 AM) Language: english (4/7/05 10:21:46 AM) Win-Path: C:\WINDOWS (4/7/05 10:21:46 AM) System-Path: C:\WINDOWS\System32 (4/7/05 10:21:46 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/7/05 10:22:35 AM) Disinfection started (4/7/05 10:22:35 AM) Bad-Dll(IEP): c:\dokume~1\stefka~1\lokale~1\temp\se.dll (4/7/05 10:22:35 AM) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ghli.dll (4/7/05 10:22:35 AM) Searchassistant Uninstaller - Keys Deleted (4/7/05 10:22:35 AM) UBF: 9 - UBB: 3 - UBR: 18 (4/7/05 10:22:35 AM) FilterKey: HKCR\text/html (deleted) (4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (deleted) (4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (4/7/05 10:22:35 AM) FilterKey: HKCR\text/plain (deleted) (4/7/05 10:22:35 AM) FilterKey: HKCR\CLSID\{E0523A8D-393B-4BCC-9C28-15829B33E8FC} (error while deleting) (4/7/05 10:22:35 AM) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (4/7/05 10:22:35 AM) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted) (4/7/05 10:22:35 AM) BHO-Key: HKCR\CLSID\{18E53E5B-C1AC-483E-B8BC-55237DDE7857} (deleted) (4/7/05 10:22:35 AM) UBF: 7 - UBB: 2 - UBR: 18 (4/7/05 10:22:35 AM) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\stefka~1\lokale~1\temp\se.dll/spage.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (4/7/05 10:22:35 AM) Stealth-String not found (4/7/05 10:22:35 AM) File added to delete: c:\windows\system32\ghli.dll (4/7/05 10:22:35 AM) Reboot heute fruh habe ich SPSeHjFix noch mal ausgefuehrt. der computer wurde nicht neu gestartet. Es wurde dieser log produziert: (4/9/05 11:35:06 AM) SPSeHjFix started v1.1.2 (4/9/05 11:35:06 AM) OS: WinXP Service Pack 1 (5.1.2600) (4/9/05 11:35:06 AM) Language: english (4/9/05 11:35:06 AM) Win-Path: C:\WINDOWS (4/9/05 11:35:06 AM) System-Path: C:\WINDOWS\System32 (4/9/05 11:35:06 AM) Temp-Path: C:\DOKUME~1\STEFKA~1\LOKALE~1\Temp\ (4/9/05 11:35:07 AM) Disinfection started (4/9/05 11:35:07 AM) Bad-Dll(IEP): (not found) (4/9/05 11:35:07 AM) Bad-Dll(IEP) in BHO: (not found) (4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17 (4/9/05 11:35:07 AM) UBF: 7 - UBB: 3 - UBR: 17 (4/9/05 11:35:07 AM) Bad IE-pages: (none) (4/9/05 11:35:07 AM) Stealth-String not found (4/9/05 11:35:07 AM) Not infected->END SOLL ich noch einen neuen Hijack This log posten? Danke im voraus für die hilfe!!!!! Edo |
Hi Edo Der Ordner den Du beschreibst ist für die Systemwiederherstellung von Windows und es ist ganz normal wenn man was löscht damit das dort für den Fall der Wiederherstellung gespeichert wird. Deaktiviere also die systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html fahre den rechner runter und boote neu aktiviere danach die Systemwiederherstellung und dann sollte das Teil weg sein. Zur Auswertung von SPSeHjFix muss Dir Lutz was dazu sagen, da er bei der Entwicklung des Tools mit beteiligt war @ Gruß an Lutz :aplaus: |
Zitat:
Ich habe 'lediglich' Seeker gebeten, aktiv zu werden und war allenfalls etwas koordinierend tätig. Das Log des Cleaners sieht so weit gut aus. Vor allem das letzte, bei dem angezeigt wird 'Not infected'. Da es sich aber um eine kleine Abweichnung der Datei se.dll/spage.html handelt (sonst meist se.dll/sp.html), würde mich ein aktuelles Log von HijackThis schon interessieren. |
@ Lutz Zitat:
|
danke für die antworte und die informationen! also, ich habe zuerst die systemweiderherstellung deaktiviert, dann den rechner heruntergeladen, und dann neu gestartet (und systemwiederherstellung neu aktiviert). der teil soll jetzt weg sein oder? kann ich dass noch irgendwie ueberpruefen? und hier noch ein neues log von hijackthis. lutz, kannst du noch mal bescheid sagen wegen diesem se.dll/spage.html? ist alles jetzt in ordnung? ich hoffe es! noch mal danke! edo Logfile of HijackThis v1.99.1 Scan saved at 7:49:59 PM, on 4/9/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\Stefka Lysk\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fu-berlin.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {00000049-8F91-4D9C-9573-F016E7626484} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {2A822DEC-D8B4-4749-9040-66939F3201F3} - (no file) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/zwTumQYKCEgvddZ...::/on-line.exe O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
Hallo edo, das se.dll-Problem ist scheinbar gelöst. Aber da ist noch etwas, was imho nichts auf einem sauberen Rechner zu suchen hat: Zitat:
Da Du Kaspersky AntiVirus auf Deinem Rechner hast, mach bitte mal einen kompletten Scan im abgesicherten Modus Wenn Kaspersky nichts finden sollte, überprüfe bitte die Datei C:\WINDOWS\isrvs\desktop.exe einmal hier -> http://virusscan.jotti.org/de/ (sofern noch vorhanden) Teile uns bitte die jeweiligen Ergebnisse mit. Anschließend suche mal unter Systemsteuerung - Software, ob es dort einen Eintrag Desktop Search (oder ähnlich) gibt. Wenn ja, bitte deinstallieren. Ansonsten noch folgende Einträge mit HijackThis fixen: Zitat:
C:\WINDOWS\isrvs\desktop.exe C:\foo.mht |
hallo lutz, dieser ordner ISRVS gibt es gar nicht (mehr). aber angeblich sind die prozesse aus diesem ordner irgendwie noch aktiv, wie zum beispiel diese C:\WINDOWS\isrvs\desktop.exe bei RegCleaner 4.3 werden bei "Sicherungen" verschiedene prozesse aus diesem ordner angezeigt. es geht um verschiedene male "desktop search" und "ffis". "ffis" hat genauso wie "desktop search" nichts auf einem sauberen rechner zu suchen ( so habe ich hier entdeckt: http://www.sysinfo.org/startuplist.php?filter=ffis ) kann ich diese einfach mit RegCleaner 4.3entfernen? es wird bei RegCleaner 4.3 auch noch zwei mal "desktop" angegeben. wenn ich die ansehe mit Editor dann wird nach REGEDIT4 verwiesen. was sind dass für prozesse? soll ich die auch entfernen? ich habe bei http://virusscan.jotti.org/de/ versucht um C:\WINDOWS\isrvs\desktop.exe zu scannen, aber dann wird angegeben: "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file" bei Systemsteuerrung --> Software gibt es kein Desktop Search. Dafür gibt es aber ein Desktop Zoom, aber das ist doch ein normalen programm, oder? kann ich schon mit dem fixen mit hijackthis anfangen oder soll ich erst diese desktop search sache lösen? und müss ich bei dem fixen mit hijack this in abgesicherte modus arbeiten oder nicht? und müss ich systemweiderherstellung deaktivieren? danke, edo |
also, ich habe die sechs oben genannte einträge gelöscht mit hijack this im abgesichterten modus. davon wurde natürlich ein backup gemacht mit hijack this. soll ich die löschen oder sind die einträage sowieso inaktiv und ungefährlich? und müss ich noch was machen mit systemweiderherstellung deaktivieren um die einträge komplett los zu werden? bei RegCleaner 4.3 wird bei "Sicherungen" noch immer zwei verschiedene prozesse oder so angezeigt. es geht um zwei mal "desktop". wenn ich die ansehe mit Editor dann wird nach REGEDIT4 verwiesen. was sind dass? soll ich die auch entfernen? dieser ordner ISRVS gibt es nicht mehr. und c:\foo.mht auch nicht mehr. hier unten noch ein neuer hijack this logfile. wie sieht es aus? ist alles jetzt in ordnung? danke, edo Logfile of HijackThis v1.99.1 Scan saved at 8:40:53 PM, on 4/11/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\hijack this\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fu-berlin.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113209972428 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C1E5C957-EDF1-4080-BF97-3717A25D3C85}: NameServer = 192.168.178.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fu-berlin.de,zedat.fu-berlin.de O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing) O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing) O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) |
und noch was... ich habe ein escan gemacht (sehe unten). Tue Apr 12 02:22:18 2005 => ***** Scanning complete. ***** Tue Apr 12 02:22:18 2005 => Total Objects Scanned: 44607 Tue Apr 12 02:22:18 2005 => Total Virus(es) Found: 5 Tue Apr 12 02:22:18 2005 => Total Disinfected Files: 0 Tue Apr 12 02:22:18 2005 => Total Files Renamed: 0 Tue Apr 12 02:22:18 2005 => Total Deleted Objects: 0 Tue Apr 12 02:22:19 2005 => Total Errors: 47 Tue Apr 12 02:22:19 2005 => Time Elapsed: 00:49:44 Tue Apr 12 02:22:19 2005 => Virus Database Date: 2005/04/12 Tue Apr 12 02:22:19 2005 => Virus Database Count: 117971 Tue Apr 12 02:22:19 2005 => Scan Completed. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\Programme\hijack this\backups\backup-20050411-201540-838 infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Programme\hijack this\hijackthisnieuw.txt infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. ich kann die Exploit.HTML.Mht sachen einfach manuell löschen (oder?)... aber was mache ich mit Alexa und mit VX2. ich habe VX2 schon versucht los zu werden mit einem update von Ad-Aware aber diese update funktionierte nicht (bei plug-ins wollte er nichts damit machen) und wieso wird ein hijackthis log eigentlich als Exploit.HTML.Mht bezeichnet? dass hat kaspersky auch schon verschiedene male gemacht. es ging einfach um editor files... gruess, edo |
Hallo edo, in Deinem Logfile von HijackThis kann ich nichts auffälliges mehr entdecken.:daumenhoc Da Du einen Kaspersky-Virenscanner hast (imho gute Entscheidung!), hättest Du Dir eScan eigentlich sparen können, da eScan die gleichen Signaturen verwendet, wie KAV, sofern Du bei KAV die erweiterten Signaturen herunterlädst. Welche eScan Version hast Du benutzt? Da gab es neulich ein paar Fehlalarme, welche aber mittlerweile wohl behoben sind. eScan ist manchmal etwas 'sehr gründlich'... ;) Diese 'Alexa-Geschichten' solltest Du -wenn tatsächlich vorhanden- am Einfachsten mit AdAware oder Spybot Search&Destroy los werden. Bei dem Exploit.HTML.Mht handelt es sich vermutlich (ebenfalls) um einen Fehlalarm. Das sehe ich auch hin und wieder mal. Du kannst die Dateien natürlich löschen, aber eine wirkliche Gefährdung sehe ich darin nicht. |
hallo lutz, es freut mich sehr dass der hijackthis file jetzt gut aussieht! tausendmal danke für die hilfe. ich habe escan 6.0.7 benutzt (ist das nicht eine neue version?). adaware und spybot haben aber nichts gefunden, also vielleicht geht es wie du sagts um fehlalarme. ich werde gleich noch mal scannen mit kaspersky und wenn dann nichts gefunden wird gehe ich mal davon aus dass es alles in ordnung ist. denkst du dass diese VX2 sache auch ein fehlalarm war? vielen vielen dank für die hilfe :aplaus: edo |
@edo Warum wieder Doppelposting : http://www.trojaner-board.com/showthread.php?t=16561 :koch: ? |
Zitat:
ich denke, es könnte sich um einen Fehlalarm handeln. Ob es aber definitiv einer war, kann ich 'natürlich' nicht sagen. ;) |
rene, es geht NICHT um eine doppelposting. in dem einen thread geht es, wie ich geschrieben habe, um den komputer von meiner freundin, und in dem anderen thread um mein eigenen komputer! ;) edo |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board