|
Ächz....Startseite schmuddelig, bitte um Hilfe ! Hallo zusammen, seit heute kommen wir hier in der WG zu einer "Schmuddelstartseite". :pfui: Spywareprogramme haben nichts gefunden. Im logfile von AntiVir habe ich folgendes gefunden: TR/Dldr.agent.ex, ist aber angeblich automatisch gelöscht worden !? Weiß nicht mehr weiter, bin Halblaie. Bitte um Euere Hilfe! Danke in voraus Logfile of HijackThis v1.99.1 Scan saved at 15:22:27, on 07.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svhost.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\system.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\UltimateZip\uzqkst.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvCplSystem] C:\WINDOWS\system.exe O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe |
Hi Du.. GANZ Böser Eintrag !!! F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe und Prozess : C:\WINDOWS\System32\svhost.exe Lad Dir bitte eScan runter, update und lass im ABGESICHERTEN Modus scannen (eine Anleitung dazu findesz Du in meiner Signatur) Nach dem Scannen, öffne das Log, durchsuche die Dtaei nach dem Wort "INFECTED" und poste hier die Heuristic, die etwa so aussehen sollte : Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: xxxxx Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: xx . . . . Poste bitte dazu, was gefunden wurde (also falls ein Virus u.ä. gefunden wurde auch die Heuristic) !!! Aber ich vemute, der wird da einiges finden, und eine Neuinstallation des Systemes ist unvermeidbar (lies mal meine Signatur zum Thema System neu aufetzen ! Daran auch halten ;) ) Gruß Andy :blabla: |
Hallo maxmax, lass bitte folgende Dateien: C:\WINDOWS\System32\svhost.exe C:\WINDOWS\system.exe hier online scannen: http://virusscan.jotti.org/de Teile das jeweilige Ergebnis mit. dartus |
@FancyAndy, erst die beiden Dateien online scannen. :daumenhoc dartus |
Zitat:
(sag doch einfach, dass Du zu langsam warst *g* :D) |
@FancyAndy, Escan ist überflüssig. Nur verlorene Zeit. dartus |
So, ersmal Dank für die schnellen Tips! Ich habe die beiden Dateien prüfen lassen, hier die Ergebnisse: Für svhost.exe AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2102 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Scanning, bitte warten... VBA32 Scanning, bitte warten... Für system.exe: AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Win32.ExplorerInfector gefunden (mögliche Variante) ClamAV Keine Viren gefunden Dr.Web Trojan.DownLoader.2102 gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Virus.Win32.Bube.l gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Scanning, bitte warten... VBA32 Scanning, bitte warten... Norman und VBA32 haben auch nach einiger Zeit nicht geantwortet. Gibt es noch Hoffnung? :confused: |
Hallo maxmax, wie FancyAndy dies schon bemerkte: 1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde, Optionen „All Local Drives“ und „Scan all Files“), http://www.systemwiederherstellung-d...indows-xp.html 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
ok, mach ich, wird ne Weile dauern, wir haben hier nur isdn. Kann es sein, daß ich in den üblichen Suchmaschienen keine Infos mehr zu viren o.ä. kriege??? |
Zitat:
dartus |
Als ich bei der Suche nach dem bei mir gefundenen Müll die Namen der Viren und Würmer in die Suchmaschienen wg. Infos eingab bekam ich überall 0! Ergebnisse. Ich meine gehört zu haben, daß manche viren den Zugriff auf bestimmte Hilfe-Seiten sperren. |
@dartus sagte doch er solle via escan scannen ;) *g* wußte dass es schlimmer kommt, gespühr für sowas :P :blabla: |
nochmal großes ächz: Beim hochfahren bleibt der Monitor dunkel...erst bei windows startfenster springt er an. Hat jemand einen Tip??? Trau mich nicht im laufenden Betrieb in den abgesicherten Modus zu gehen (wie beschrieben). Hilft ein scan im normalen Modus nichts? Soll ich eigentlich e Scan im normalen oder abgesicherten Modus installieren, oder nur den Scan im abgesicherten machen??? Dank und Gruß maxmax |
Hi :D Solange F8 drücken beim hochfahren, bis Du ABGESICHERTEN Modus auswählen kannst... Du installierst im normalen Modus un updatest dort, jedoch das Scannen bitte im abgesicherten... Gruß Andy |
Soweit alles ok und erledigt. Nur wie gesagt, beim Hochfahren bleibt unser Monitor dunkel. F8 drücken hilft da leider nicht viel... Wenn ich dann einen Restart drücke und normal hochfahre, dann springt der Monitor beim Windows-Anmelden an :heulen: . Ich versuche einen alten Röhrenmonitor aufzutreiben, mit dem hat man das hochfahren beobachten können. Gruß maxmax |
Hallo nochmal, mit dem alten Monitor hat das geklappt. Da sieht man den Rechner hochfahren. Hier unsere Sammlung: File C:\WINDOWS\system.exe infected by "Trojan-Clicker.Win32.Small.cy" Virus. Action Taken: No Action Taken. System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\boln.dll infected by "Trojan-Downloader.Win32.Druser.b" Virus. Action Taken: No Action Taken. C:\Programme\AVPersonal\INFECTED\*.* File C:\WINDOWS\system32\boln.dll infected by "Trojan-Downloader.Win32.Druser.b" Virus. Action Taken: No Action Taken. File F:\Backup Juli 2004\Downloads\Downloads\rl3r5divXplayer.exe infected by "not-a-virus:AdWare.SaveNow.ag" Virus. Action Taken: No Action Taken. Apr 07 18:32:21 2005 => Total Objects Scanned: 95120 Thu Apr 07 18:32:21 2005 => Total Virus(es) Found: 25 Thu Apr 07 18:32:21 2005 => Total Disinfected Files: 0 Thu Apr 07 18:32:21 2005 => Total Files Renamed: 0 Thu Apr 07 18:32:21 2005 => Total Deleted Objects: 0 Thu Apr 07 18:32:21 2005 => Total Errors: 131 Thu Apr 07 18:32:21 2005 => Time Elapsed: 00:33:51 Thu Apr 07 18:32:21 2005 => Virus Database Date: 2005/04/06 Thu Apr 07 18:32:21 2005 => Virus Database Count: 124827 Thu Apr 07 18:32:21 2005 => Scan Completed. Thu Apr 07 18:39:16 2005 => Virus Database Date: 2005/04/06 Thu Apr 07 18:39:16 2005 => Virus Database Count: 124827 Thu Apr 07 18:39:24 2005 => AV Library Unloaded (3)... Bis auf den Startseiteneintrag keine Symptome am Rechner. Gruß, maxmax |
Hallo maxmax, Zitat:
Schau bitte nochmals. dartus |
Ok, ich habe nochmal das logfile sorfältig durchgesehen: File C:\WINDOWS\system.exe infected by "Trojan-Clicker.Win32.Small.cy" Virus. System found infected with VB and VBA Program Settings Spyware/Adware! File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus File C:\WINDOWS\System32\boln.dll infected by "Trojan-Downloader.Win32.Druser.b" Virus. Folder: C:\Programme\AVPersonal\INFECTED\*.* File C:\WINDOWS\system32\boln.dll infected by "Trojan-Downloader.Win32.Druser.b" Virus File F:\Backup Juli 2004\Downloads\Downloads\rl3r5divXplayer.exe infected by "not-a-virus:AdWare.SaveNow.ag" Virus. pr 07 18:32:21 2005 => ***** Scanning complete. ***** Thu Apr 07 18:32:21 2005 => Total Objects Scanned: 95120 Thu Apr 07 18:32:21 2005 => Total Virus(es) Found: 25 Thu Apr 07 18:32:21 2005 => Total Disinfected Files: 0 Thu Apr 07 18:32:21 2005 => Total Files Renamed: 0 Thu Apr 07 18:32:21 2005 => Total Deleted Objects: 0 Thu Apr 07 18:32:21 2005 => Total Errors: 131 Thu Apr 07 18:32:21 2005 => Time Elapsed: 00:33:51 Thu Apr 07 18:32:21 2005 => Virus Database Date: 2005/04/06 Thu Apr 07 18:32:21 2005 => Virus Database Count: 124827 Thu Apr 07 18:32:21 2005 => Scan Completed. Thu Apr 07 18:39:16 2005 => Virus Database Date: 2005/04/06 Thu Apr 07 18:39:16 2005 => Virus Database Count: 124827 Thu Apr 07 18:39:24 2005 => AV Library Unloaded (3)... Mehr ist nicht... Schon komisch das ganze. Spybot meldet all 10min den Änderungsversuch in der Registry für die Startseite. Gruß maxmax |
?? da ist doch der hier drauf. afaik gibt es schnellere methoden das herauszufinden. lade die datei system.exe im ordner c:\windows bei http://virusscan.jotti.org/ hoch und poste das ergebnis um sicher zu gehen. |
ok, hier das Ergebnis: File: system.exe Status: INFECTED/MALWARE Packers detected: Analyzing... Scanner results AntiVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found Trojan-Clicker.Win32.Small.cy mks_vir Found Trojan.Clicker.Small.Cy NOD32 Found probably unknown NewHeur_PE (probable variant) Norman Virus Control Scanning, please wait... VBA32 Scanning, please wait... Keine Antwort von den letzten beiden. Gruß |
Hallo maxmax, wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe folgende Einträge (Scan mit HJT, Häckchen vor Einträgen und auf Fix checked klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe O4 - HKLM\..\Run: [NvCplSystem] C:\WINDOWS\system.exe Lösche alle con Escan gefunden Dateien und diese: C:\WINDOWS\System32\svhost.exe Neustart-->Systemwiederherstellung aktivieren UPDATE Dein System auf SP 2!! Benutze zukünftig einen sicheren Browser, desweiteren hier einiges lesenswertes, insbesondere die "12 Punkte". dartus |
Oh mann.... habe sorgfältigst den letzten Tip befolgt, im abgesicherten Modus war zunächst nichts mehr zu finden bei Hijack. E-scan zeigt im normalen modus nach wie vor die system.exe an, im Explorer ist diese jedoch nicht zu finden. hier die aktuellen logfiles: E-scan: ile System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. File C:\WINDOWS\system.exe infected by "Trojan-Clicker.Win32.Small.cy" Virus. File C:\WINDOWS\system.exe infected by "Trojan-Clicker.Win32.Small.cy" Fri Apr 08 07:23:58 2005 => ***** Scanning complete. ***** Hijack: Logfile of HijackThis v1.99.1 Scan saved at 07:32:46, on 08.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\UltimateZip\uzqkst.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Wieder zurück im abgesicherten Modus zeigt E scan die Viren wieder an. Fakt ist: In Windows system, bzw System 32 gibt es im Explorer keine system.exe mehr, bzw wird nix angezeigt. allerdings gibt es noch 2 dateien "system", die als Gerätetreiber beschrieben werden. was kann ich noch tun????????? Gruß maxmax |
Hallo maxmax, die "system.exe" ist direkt unter Windows zu finden und nicht in "system"oder "system32". Lade Dir die killbox, Option "delete by reboot", kopiere diesen Pfad dort hinein oder schreiben --> C:\WINDOWS\system.exe, klicke dann auf das rote Kreuz und dann auf "yes". dartus |
Hallo Dartus, erstmal vielen Dank für Deine Geduld. Auf meinem System ist wirklich keine system.exe mehr zu finden. Die auf den Pfaden beschriebenen habe ich alle gelöscht. Neu? ist allerdings im Windowsordner eine Datei "system" mit folgendem Inhalt: die Punkte sind von mir! ...; for 16-bit app support ...[drivers] ...wave=mmdrv.dll ...timer=timer.drv ...[mci] ...[driver32] ...[386enh] ...woafont=app850.FON ...EGA80WOA.FON=EGA80850.FON ...EGA40WOA.FON=EGA40850.FON ...CGA80WOA.FON=CGA80850.FON ...CGA40WOA.FON=CGA40850.FON Im Unterordner System32 ist ein "treiber" namens system, ich bilde mir ein, daß der vor dem Löschen der system.exe nicht da war. Genauso in windows/system. Aber vielleicht täusche ich mich ja auch. Öffnen kann ich die beiden nicht. Und hier noch mal Hijack im abgesicherten modus: Logfile of HijackThis v1.99.1 Scan saved at 19:01:10, on 08.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quotecenter.de/lang/pwatc...lus=0.69588881 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Und E scan, vor dem scan nochmals upgedated: File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. Fri Apr 08 19:25:43 2005 => ***** Scanning complete. ***** Fri Apr 08 19:25:43 2005 => Total Objects Scanned: 16147 Fri Apr 08 19:25:43 2005 => Total Virus(es) Found: 1 Fri Apr 08 19:25:43 2005 => Total Disinfected Files: 0 Fri Apr 08 19:25:43 2005 => Total Files Renamed: 0 Fri Apr 08 19:25:43 2005 => Total Deleted Objects: 0 Fri Apr 08 19:25:43 2005 => Total Errors: 0 Fri Apr 08 19:25:43 2005 => Time Elapsed: 00:10:58 Fri Apr 08 19:25:43 2005 => Virus Database Date: 2005/04/06 Fri Apr 08 19:25:43 2005 => Virus Database Count: 124827 Fri Apr 08 19:25:43 2005 => Scan Completed. Der Witz ist der: Wenn ich im ABGESICHERTEN Modus den IE starte habe ich gleich wieder den Müll auf der Startpage!!??? Hier das File NACH IE Start Logfile of HijackThis v1.99.1 Scan saved at 19:32:07, on 08.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pussy-vault.com/archive.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Im normalen Modus sowieso. Adaware zeigt auch alle 10 min den Versuch der Änderung an. Ich weiß nicht was soll es bedeuten..... Schonmal Dank für weiteres Bemühen, maxmax |
Hallo maxmax, mach nochmal ein Ecan ("All local drives" und "Scan All") und nicht nach infected sondern nach tagged suchen. dartus |
So, das hat jetzt ein Weilchen gedauert: File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File E:\Neu Aktenkoffer\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\SoftwareDownloads\Downloads\vnc_x86_win32\vncviewer\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. File E:\SoftwareDownloads\WOLFS_TO\1_STUDIO\__TOXICS\FRUIT000\SIMLV\SIMSYNTH.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\SoftwareDownloads\WOLFS_TO\1_STUDIO\__TOXICS\FRUIT000\SIMLV.RAR tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\SoftwareDownloads\WOLFS_TO\9_TOOLS\WIN_RAR_\PATCH.EXE tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. File F:\Backup Juli 2004\Downloads\vnc_x86_win32\vncviewer\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. File F:\Backup08062004\Büro\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. War ein Scan im normalen modus. Etwas dabei? Dr Web Backdoor vielleicht? Soll ich nochmal im abgesicherten Modus scannen? Gruß maxmax |
Hallo maxmax, aus meiner Sicht die letzte Chance, mach das mal wie hier beschrieben: http://www.trojaner-board.de/showpos...0&postcount=14 dartus |
Ok hier das file: "Silent Runners.vbs", revision 34, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ASUS SmartDoctor" = "C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start" ["ASUSTeK Inc."] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] "NBJ" = ""C:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"] "PowerBar" = (no data) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "F-Secure TNB" = ""C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL" ["F-Secure Corporation"] "HotKey" = "C:\WINDOWS\Twain_32\FlatBed\HotKey.exe" ["Pmx. Electronics Ltd."] "Microsoft Works Portfolio" = "C:\Programme\Microsoft Works\WksSb.exe /AllUsers" ["Microsoft® Corporation"] "Microsoft Works Update Detection" = "C:\Programme\Microsoft Works\WkDetect.exe" ["Microsoft® Corporation"] "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "AVSCHED32" = "C:\Programme\AVPersonal\AVSCHED32.EXE /min" ["H+BEDV Datentechnik GmbH"] "CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "CloneCDTray" = ""C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"" ["Elaborate Bytes AG"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided) \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1}\(Default) = "PopThis BHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll" ["www.surfapps.com"] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}" = "UltimateZip Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] Startup items in "wp" & "All Users" startup folders: ---------------------------------------------------- C:\Dokumente und Einstellungen\wp\Startmenü\Programme\Autostart "PowerReg Scheduler.exe" [empty string] "UltimateZip Quick Start" -> shortcut to: "C:\Programme\UltimateZip\uzqkst.exe" ["SWE von Schleusen"] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Erinnerungen in Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Hätte ich das: Download the Pocket KillBox Unzip the file to your desktop. Open TheKillbox. Select the Delete on reboot option. In the 'Full Path of File to Delete' box, copy and paste the following, clicking the 'Delete File' button (red circle with a white X) after pasting: C:\WINDOWS\System32\systr.dll When given the option to reboot select yes. auch noch machen sollen? Gruß in den abend maxmax |
Hallo maxmax, nichts auffälliges. Geh in die Registry (Start/ausführen/regedit) und schau nach was unter diesen Schlüsselen steht: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKCU = HKEY_CURRENT_USER HKLM = HKEY_LOCAL_MACHINE Such dort, ob die Scmudelseite dort auftaucht. dartus |
Guten Morgen allerseits, die beiden Einträge dre registry sind Links zu den Schmuddelportalen. Hier noch eine -vielleicht hilfreiche- Beobachtung: Starte ich im abgesicherten Modus OHNE Netzwerktreiber ändert sich die von mir eingestellte Startseite NICHT. Starte ich im abgesicherten Modus MIT Netzwerktreibern kommen wieder die Schmuddellinks! Kommt die Änderung von aussen?? Die logfiles zeigen ja nichts mehr an. Ich surfe über Kabelgebundenes Netzwerk (Router) und im Netzwerk hängt bei uns noch ein zweiter PC. Der 2. PC zeigt keine Symptome hinsichtlich Änderung der Startseite. So, nehme ich den zweiten PC aus dem Netzwerk bleibt alles wie oben beschrieben. Schalte ich aber den Router aus, bleiben alle von mir gewählten Einstellungen erhalten, egal in welchem Moudus!!! Hilft das vielleicht weiter????? Gruß maxmax |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board