|
Cleaner für Problem about:blank funktioniert nicht Hallo zusammen, versuche seit Stunden das about:blank - Problem zu lösen und habe mir den angebotenen cleaner runtergeladen. Diverse Löschungen werden vorgenommen, aber Verarbeitung endet mit folgendem Fehler: (21.5.05 18:25:26) Stealth-String not found: (21.5.05 18:25:26) No Files to delete. End without Reboot Habe Windows ME. Was ist zu tun ?? In dem Zusammenhang habe ich auch Ad-Aware runtergeladen. Bin schwer frustiert über das Ergebnis vom Scan. Aber noch schlechter ist, das immer dann, wenn es ans Löschen geht, die Software steht. Es tut sich schlichtweg gar nichts mehr. Läßt sich nur noch über den Task-Manager abbrechen. Funktioniert auch nicht im gesicherten Modus. Hat jemand einen Tip ?? Schon mal vielen Dank für die Mühe. Gruß, Anja Bötger |
Erstelle einen log mittels Hijackthis und poste diessen hier. Anleitung Zitat:
|
Zitat:
|
Hallo Lutz, anbei 2 Protokolle. Der Vollständigkeit halber das ganze Protokoll vom Cleaner und anschließend hijackThis. Gruß, Anja Hier das vollständige Protokoll vom Cleaner: (21.5.05 18:25:13) SPSeHjFix started v1.09 (21.5.05 18:25:13) OS: WinME (4.90.73010104) (21.5.05 18:25:13) Language: deutsch (21.5.05 18:25:26) Disinfect started (21.5.05 18:25:26) Bad-Dll(IEP): xcpfv.dll (21.5.05 18:25:26) UBF: 4 (21.5.05 18:25:26) UBB: 2 (21.5.05 18:25:26) UBR: 33 (21.5.05 18:25:26) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank_ deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank_ deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank_ deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047_ (21.5.05 18:25:26) Stealth-String not found: (21.5.05 18:25:26) No Files to delete. End without Reboot Nun das HijackThis-Protokoll: Logfile of HijackThis v1.99.1 Scan saved at 10:56:38, on 22.05.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE C:\PROGRAMME\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSLT.EXE C:\WINDOWS\SYSTEM\IPLB32.EXE C:\WINDOWS\SYSTEM\ADDPU.EXE C:\WINDOWS\D3WK32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\HAMPANEL.EXE C:\WINDOWS\MHOTKEY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\SYMNETDRV\SNDWARN.EXE C:\WINDOWS\SYSTEM\MFCWP32.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE C:\WINDOWS\SYSTEM\ADDPU.EXE C:\WINDOWS\SYSLT.EXE C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\ADDPU.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\xcpfv.dll/sp.html#12047 R3 - Default URLSearchHook is missing F1 - win.ini: run=hpfsched O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Class - {DBE2FEDB-252E-824E-8DC6-F5585FF9D6C7} - C:\WINDOWS\SYSTEM\ADDWD.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKLM\..\Run: [MFCWP32.EXE] C:\WINDOWS\SYSTEM\MFCWP32.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Personal Firewall\NISUM.EXE O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SYSLT.EXE] C:\WINDOWS\SYSLT.EXE /s O4 - HKLM\..\RunServices: [IPLB32.EXE] C:\WINDOWS\SYSTEM\IPLB32.EXE /s O4 - HKLM\..\RunServices: [ADDPU.EXE] C:\WINDOWS\SYSTEM\ADDPU.EXE /s O4 - HKLM\..\RunServices: [D3WK32.EXE] C:\WINDOWS\D3WK32.EXE /s O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\OFFICE\1031\PHDINTL.DLL/phdContext.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab |
Nochmal Hallo und ein Nachtrag, habe das HijackThis-Protokoll gerade durch die Online-Auswertung für "Doofe" geschickt und bin völlig irritiert. Auf meinem PC sieht es so aus wie immer, das heißt, dass die Firewall von Norton aktiv ist. Wenn ich einzelne Funktionen benutze, wie z. B. Verkehr blockieren, arbeitet auch alles einwandfrei. Lt. HiJackThis-Protokoll ist aber keine firewall aktiv ???? Gruß, Anja |
@boetger bevor wir weiter machen, checke bitte dei Datei Zitat:
|
Virusscan war offen :confused: sichtlich ohne Ergebnis: Service load: 0% 100% File: RUNDLL.EXE Status: OK MD5 9edc7932ee72bef1e820ec914f973d2d Packers detected: - Scanner results AntiVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing mks_vir Found nothing NOD32 Found nothing Norman Virus Control Found nothing VBA32 Found nothing Bis bald auf dieser Welle, Anja |
@Rene-gad Zitat:
Zitat:
Dateien im abgesicherten Modus löschen Zitat:
Zitat:
|
Hi Rene-gad, imho hast Du einen Eintrag vergessen/übersehen: Zitat:
wenn möglich neben den von Rene-gad genannten Dateien auch folgende löschen: Zitat:
Wenn das Löschen und Fixen keinen dauerhaften Erfolg bringt, scanne bitte Deinen Rechner mit eScan (siehe Signatur) und erstelle und poste ein Startdreck-Log. Nachtrag: Evtl. hat der Cleaner mehr Erfolg, wenn Du ihn ein weiteres Mal ausführst. Poste bitte einmal, ob weitere Einträge in das Log geschrieben werden. |
Hi folks, schon mal Danke für Eure bisherige Aufmerksamkeit. Heute werde ich leider nicht mehr allzuviel schaffen, muss gleich weg und kann erst morgen abend weiter "rätseln". Vorläufig noch eine Frage zum Update IE; auf was soll ich updaten? Version 6 haben wir bisher bewußt ignoriert, weil Gerüchte lauten, dass er sich mit ME nicht so gut verträgt, insbesondere was Laufzeiten angeht. Stimmt oder stimmt nicht ?? Gruß, Anja |
@Lutz TNX, habe wirklich übersehen :headbang:! @boetger Zitat:
-Wer sind wir? -Wer hat diese Gerüchte euch gebarcht? -Warum habt ihr die Gerüchte nicht gehört, wonach der IE 5 der unsicherster Browser ist? |
Moin, also "wir" sind meine bessere Hälfte und ich. Die hard- und software im Haushalt wird von uns beiden verfrühstückt. Und ja, schon gehört, das IE 5 nicht besonders prickelnd ist. aber wie das immer so ist, wenn man/frau sich mit den "Experten" unterhält. Versuche ja darum mit Eurer Hilfe besser klarzukommen. Im Übrigen haben sich die beiden von Lutz genannten Dateien problemlos löschen lassen. Dafür bekomme ich folgende Dateien nicht weg: C:\WINDOWS\SYSTEM\ADDPU.EXE C:\WINDOWS\SYSTEM\MFCWP32.EXE Bekomme immer die Meldung, dass die Dateien von Windows verwendet werden. (Habe im gesicherten Modus gearbeitet). Mehr heute abend, war ein kurzer Onlineausflug während der Arbeitszeit. Gruß, Anja |
@boetger Zitat:
|
Hallo Leute, nach ca 3 Stunden intensiver Systempflege nach Euren Anregegungen bin ich zwar etwas weiter aber leider immer noch erfolglos. Nachstehend das neueste HJ-Protokoll. Die Einträge R1 R0 und R3 sind nicht wegzukriegen. Was nun ?? Im Übrigen hat sich das System so verändert, dass jetzt im Online die Norton-Firewall ständig Hohes Risiko meldet. Z. B. von JAVARD.EXE(Vor 30 Minuten war es D3JH32.EXE); die EXE will auf das Internet zugreifen. Ist also etwas mühsam zu posten. Gruß, Anja Logfile of HijackThis v1.99.1 Scan saved at 20:25:58, on 23.05.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\sqyto.dll/sp.html#12047 R3 - Default URLSearchHook is missing O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Class - {989B58CA-7938-6DF7-7AC1-44A97F291E4E} - C:\WINDOWS\SYSTEM\WINXS32.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Personal Firewall\NISUM.EXE O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\OFFICE\1031\PHDINTL.DLL/phdContext.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
Ich zitiere mich mal selbst: ;) Zitat:
|
sorry, dass mit escan war beim ersten Mal nicht so richtig angekommen. Sind ein bisschen viel neue Tools in den letzten Tagen. Nun aber nachstehend das Log. Ganz unten dann log von startdreck. Damit konnte ich allerdings nicht sehr viel anfangen, ich hoffe das ist die Liste, die Ihr sehen wollt. Bin völlig frustiert vom escan: Was bitte haben Norton-Anivrus und die Firewall die letzten 2 Jahre getan ???????? Gruß, Anja P.s. IE 6 sofort laden oder erst wenn System wieder sauber ?? File C:\WINDOWS\SYSTEM\WINXS32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\ADDMF.EXE infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. File C:\WINDOWS\ADDMF.EXE infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\IPOW.EXE infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\IPOW.EXE infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\WINXS32.DLL infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\IPOW.EXE infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. File C:\WINDOWS\ADDMF.EXE infected by "Trojan.Win32.Agent.bi" Virus! Action Taken: No Action Taken. Object "sw Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "CoolWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "hsa Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "ISearchTech Spyware/Adware" found in File System! Action Taken: No Action Taken. File C:\WINDOWS\gato.dll tagged as "not-a-virus:AdWare.AdBreak". Action Taken: No Action Taken. File C:\WINDOWS\od-boob18.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd500.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd499.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd196.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd327.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\winrn32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\ydaa.dll infected by "Trojan-Downloader.Win32.Small.ats" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\appev.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMP\E385.TMP infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMP\91D1.TMP infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\IMQOSQ91\granny-thumbs[1] infected by "Trojan-Clicker.JS.Linker.c" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\WTU3C1A3\go[1].hta infected by "Trojan-Dropper.VBS.Inor.a" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CF0VI56F\go[2].hta infected by "Trojan-Dropper.VBS.Inor.a" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\4PMZ4P27\Counters[1].jar tagged as "not-a-virus:Porn-Dialer.Win32.RelaxDial". Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\ydaa.dll infected by "Trojan-Downloader.Win32.Small.ats" Virus! Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\appev.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMP\E385.TMP infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken. File C:\WINDOWS\TEMP\91D1.TMP infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\hotxxx.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\topsex.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\IMQOSQ91\granny-thumbs[1] infected by "Trojan-Clicker.JS.Linker.c" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\WTU3C1A3\go[1].hta infected by "Trojan-Dropper.VBS.Inor.a" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\CF0VI56F\go[2].hta infected by "Trojan-Dropper.VBS.Inor.a" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Temporary Internet Files\Content.IE5\4PMZ4P27\Counters[1].jar tagged as "not-a-virus:Porn-Dialer.Win32.RelaxDial". Action Taken: No Action Taken. File C:\WINDOWS\gato.dll tagged as "not-a-virus:AdWare.AdBreak". Action Taken: No Action Taken. File C:\WINDOWS\od-boob18.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd500.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd499.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd196.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\od-stnd327.exe tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\WINDOWS\winrn32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus! Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\5-4-2740.BUD tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\5-4-9211.BUD tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\od-t6389.BUD tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\od-s8410.BUD tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\od-s1853.BUD tagged as "not-a-virus:Porn-Dialer.Win32.WebDialer". Action Taken: No Action Taken. File C:\Programme\Norton SystemWorks\Norton CleanSweep\Backup\mfcw7709.BUD infected by "Trojan-Downloader.Win32.Agent.bq" Virus! Action Taken: No Action Taken. File C:\Recycled\Q678340.exe infected by "Trojan-Downloader.Win32.Small.rr" Virus! Action Taken: No Action Taken. File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken. File C:\1970.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken. File C:\1286.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken. File C:\ms32.tmp infected by "Trojan-Downloader.Win32.Small.ats" Virus! Action Taken: No Action Taken. StartDreck (build 2.1.7 public stable) - 2005-05-24 @ 18:33:24 (GMT +02:00) Platform: Windows ME (Win 4.90.3000 ) Internet Explorer: 5.50.4134.0100 Logged in as Standard at PPP221 »Registry »Run Keys »Current User »Run *Reminder=C:\Programme\Microsoft Money\System\reminder.exe *Taskbar Display Controls=RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY »RunOnce »Default User »Run *Reminder=C:\Programme\Microsoft Money\System\reminder.exe *Taskbar Display Controls=RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY »RunOnce »Local Machine »Run *ScanRegistry=C:\WINDOWS\scanregw.exe /autorun *PCHealth=C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s *SystemTray=SysTray.Exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *POINTER=C:\Programme\Microsoft Hardware\Mouse\point32.exe *HaMFrontPanel=C:\WINDOWS\hampanel /B:Software\Ambient\HaM *CHotKey=mHotkey.exe *NvColorInit=RUNDLL32.EXE NVQTWK.DLL,NvColorInit *ccApp="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" *ccRegVfy="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" *NPROTECT=C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE *Symantec NetDriver Warning=C:\PROGRA~1\SYMNET~1\SNDWARN.EXE *IEXPLORE.EXE=C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE *IPOW.EXE=C:\WINDOWS\SYSTEM\IPOW.EXE +OptionalComponents +IMAIL *Installed=1 +MAPI *NoChange=1 *Installed=1 +MAPI *NoChange=1 *Installed=1 »RunOnce »RunServices *SchedulingAgent=mstask.exe *SSDPSRV=C:\WINDOWS\SYSTEM\ssdpsrv.exe **StateMgr=C:\WINDOWS\System\Restore\StateMgr.exe *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE *ccEvtMgr="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" *ScriptBlocking="C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg *CSINJECT.EXE=C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE *NPROTECT=C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE *SymTray - Norton SystemWorks=C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" *Nisum=C:\Programme\Norton Personal Firewall\NISUM.EXE *ccPxySvc=C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE *Machine Debug Manager=C:\WINDOWS\SYSTEM\MDM.EXE *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *ADDMF.EXE=C:\WINDOWS\ADDMF.EXE /s »RunServicesOnce »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.disabled *SpybotSD.DisabledFile="C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\blindman.exe" "%1" +.exe *exefile="%1" %* +.hta *htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %* +.htm *htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome +.html *htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome +.js *JSFile=C:\WINDOWS\WScript.exe "%1" %* +.jse *JSEFile=C:\WINDOWS\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe "%1" +.scr *scrfile="%1" /S +.txt *txtfile=C:\WINDOWS\NOTEPAD.EXE %1 +.vbs *VBSFile=C:\WINDOWS\WScript.exe "%1" %* +.vbe *VBEFile=C:\WINDOWS\WScript.exe "%1" %* +.wsh *WSHFile=C:\WINDOWS\WScript.exe "%1" %* +.wsf *WSFFile=C:\WINDOWS\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Browser Helper Objects (LM) *Navbho.CNavExtBho.1/{BDF3E430-B101-42AD-A544-FADC6B084872} `InprocServer32=C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll *AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} `InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX *Class/{989B58CA-7938-6DF7-7AC1-44A97F291E4E} `InprocServer32=C:\WINDOWS\SYSTEM\WINXS32.DLL »Files »Autostart Folders »Current User *C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\CleanSweep Smart Sweep-Internet Sweep.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk »Default User *C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\CleanSweep Smart Sweep-Internet Sweep.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk »Local Machine »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=Explorer.exe »Text Files *C:\WINDOWS\msdos.sys *C:\msdos.sys *C:\config.sys *C:\autoexec.bat *C:\WINDOWS\wininit.bak *C:\WINDOWS\winstart.bat *C:\WINDOWS\dosstart.bat *C:\WINDOWS\command\cmdinit.bat »System/Drivers »Running Processes +FF0F1E4D=C:\WINDOWS\SYSTEM\KERNEL32.DLL +FFFFEBAD=C:\WINDOWS\SYSTEM\MSGSRV32.EXE +FFFE4C6D=C:\WINDOWS\SYSTEM\mmtask.tsk +FFFE4611=C:\WINDOWS\SYSTEM\MPREXE.EXE +FFFE60A5=C:\WINDOWS\SYSTEM\MSTASK.EXE +FFFE7359=C:\WINDOWS\SYSTEM\SSDPSRV.EXE +FFFEC47D=C:\WINDOWS\SYSTEM\STIMON.EXE +FFFEFCC5=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE +FFFD6899=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE +FFFD0531=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE +FFFD16E1=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE +FFFD3F6D=C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE +FFFDDE8D=C:\PROGRAMME\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE +FFFDF16D=C:\WINDOWS\SYSTEM\MDM.EXE +FFFD9B3D=C:\WINDOWS\EXPLORER.EXE +FFFC4BF9=C:\WINDOWS\ADDMF.EXE +FFFC0AC9=C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE +FFF9702D=C:\WINDOWS\SYSTEM\SYSTRAY.EXE +FFF92309=C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE +FFF9D741=C:\WINDOWS\SYSTEM\WMIEXE.EXE +FFF9FF1D=C:\WINDOWS\HAMPANEL.EXE +FFF98C65=C:\WINDOWS\MHOTKEY.EXE +FFF9C235=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE +FFF8F6DD=C:\WINDOWS\SYSTEM\IPOW.EXE +FFF7507D=C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE +FFF72CBD=C:\WINDOWS\RunDLL.exe +FFF80BDD=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE +FFF80651=C:\PROGRAMME\WINZIP\WZQKPICK.EXE +FFF7E0E1=C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe +FFFA4399=C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE +FFF70FC9=C:\PROGRAMME\MICROSOFT WORKS\MSWORKS.EXE +FFFAA411=C:\WINDOWS\SYSTEM\SPOOL32.EXE +FFF346B1=C:\WINDOWS\SYSTEM\HPZSTATX.EXE +FFF23A5D=C:\WINDOWS\EXPLORER.EXE +FFF8E41D=C:\PROGRAMME\STARTDRECK217\STARTDRECK.EXE »NT Services »Application specific |
Ps. 26.5.05: Falls möglich, wäre es nett, wenn bis heute 14.30 h noch jemand eine Anregug zu meinen letzten beiden Aktivitäten einstellen könnte. Danach habe ich nur noch meine evtl. noch nicht ganz saubere Kiste zur Verfügung. Gruß, Anja Hi zusammen, noch'n Nachtrag (von einem sicheren PC aus). Bin zwar weit davon entfernt, ein Experte zu sein, stehe aber auch nicht gänzlich auf Kriegsfuss mit PC'S. (Habe nur den besseren Draht zu Grossrechnern). Daher habe ich (haben wir) aufgrund des escan schon mal diverse Aufräumarbeiten durchgeführt. Bei der Aktion dann gesehen, dass auf c\Windows und c\Windows\System Unmengen von Dateien (.exe, .dat und .txt ) enthalten waren, die offensichtlichauch in Zusammenhang mit win32.agent hindeuteten. ca. 95 % davon waren leer (!!!) und sahen nach dummy's aus, die bei ungenügenden Reparaturen als Ersatz mit Leben gefüllt werden. Nachdem wir ca. 500 :kloppen: Dateien in die Tonne gekloppt haben, war dann endlich das fixen über HJ (zumindest vorläufig) erfolgreich. Auch die IE-Startseite ließ sich wieder von Dauer überschreiben und der Cleaner meldet "Nicht infiziert". Nach Neustart ist aber klar, dass irgendwo noch der Teufel :teufel3: im Detail steckt: About:Blank ist weg, die bisher als Risiko erkannten Einträge sind auch noch weg, aber die Kiste will nach Neustart automatisch eine Verbindung herstellen (mit der von mir eingetragenen Startseite). Wir haben es daher bislang vermieden, wieder ins Netz zugehen. Könnte ja sein, dass sich dann alle gelöschten Dateien wieder bilden. Weiß der Henker warum. Habt Ihr evtl. auch ohne aktuelles JH o. ä. noch einen Rat, was zu tun ist ?? Möchte nur ungern mit diesem Stand online gehen. Gruß, Anja |
Hi Lutz, hi Rene-gad, vor einer Woche habt Ihr netterweise auf dieses Thema reagiert. Es wäre prima, wenn Ihr (hoffentlich abschließend) noch mal ein Auge riskiert. Meine beiden Einträgen vor diesem könnt Ihr allerdings getrost ignorieren. Mittlerweile hat mein PC einen erheblich besseren Stand. Was jetzt übrig geblieben ist, hat eigentlich auch mit dem Cleaner nix mehr zu tun, resultiert aber natürlich aus den ganzen Aufräumarbeiten. Aufgrund der ganzen Scan-Ergebnisse der von Euch genannten Utilities habe ich insgesamt ca. 650 Dateien und ungefähr 15 registry-Einträge gelöscht. Spybot und adAware finden nix mehr. Meines Erachtens sieht auch HJ-This ganz passabel aus (auch wenn die online-Auswertung noch ein paar gelbe Einträge zeigt). Könnt Ihr unten alles ansehen. Es gibt auch keine Auffälligkeiten mehr. So weit so gut. Aber aus escan bekomme ich 2 Einträge einfach nicht weg. Sind auch nachstehend angelistet. Im bemängelten Pfad ist nichts (!!!!!!!!!!) enthalten. Nicht eine Datei. In der registry findet sich auch nichts mehr. Das einzige, was noch zu finden war, ist die Pfadangabe des Schädlings als Textstring in folgenden Dateien: c:\\Windows\User.dat, c:\\Windows\WIN386.SWP, c:\\Windows\APPLOG\APPLOG.ind und c:\Programme\NortonSystemWorks\NortonCleansweep\CSDRVMAP.dat Diese Dateien fallen allerdings in die Kagegorie, die ich nicht so ohne weiteres löschen möchte, weil noch viel mehr drinsteht und das meiste nicht zu interpretieren ist. Schon mal danke und Gruß, Anja Nun die aktuellsten Listen: escan: Virus-Log: File C:\WINDOWS\Downloaded Program Files\hotxxx.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\topsex.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. Vollständige Logmeldung: Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\hotxxx.exe Mon May 30 12:08:41 2005 => File C:\WINDOWS\Downloaded Program Files\hotxxx.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\topsex.exe Mon May 30 12:08:41 2005 => File C:\WINDOWS\Downloaded Program Files\topsex.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. Insgesamt angeblich in DownloadedProgramFiles alles enthalten: Mon May 30 12:05:02 2005 => Scanning Folder: C:\WINDOWS\Downloaded Program Files\*.* Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\desktop.ini Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\voxacm.inf Mon May 30 12:05:02 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\hotxxx.exe Mon May 30 12:08:41 2005 => File C:\WINDOWS\Downloaded Program Files\hotxxx.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\topsex.exe Mon May 30 12:08:41 2005 => File C:\WINDOWS\Downloaded Program Files\topsex.exe tagged as "not-a-virus:Porn-Dialer.Win32.StarLux". Action Taken: No Action Taken. Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\swflash.inf Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\wmv9dmo.inf Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\iuctl.inf Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\rufsi.dll Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\CabSA.inf Mon May 30 12:08:41 2005 => Scanning File C:\WINDOWS\Downloaded Program Files\opuc.inf Der angegebene Pfad ist aber leer !!!!!!!!!!!!!!!! HJ-Protokoll: Logfile of HijackThis v1.99.1 Scan saved at 14:50:12, on 30.05.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS_199\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe O4 - HKLM\..\Run: [HaMFrontPanel] C:\WINDOWS\hampanel /B:Software\Ambient\HaM O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWARN.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Personal Firewall\NISUM.EXE O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsm32.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\OFFICE\1031\PHDINTL.DLL/phdContext.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab und zuletzt noch stardreck: StartDreck (build 2.1.7 public stable) - 2005-05-30 @ 15:31:27 (GMT +02:00) Platform: Windows ME (Win 4.90.3000 ) Internet Explorer: 6.0.2800.1106 Logged in as Standard at XXXX »Registry »Run Keys »Current User »Run *Taskbar Display Controls=RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY »RunOnce »Default User »Run *Taskbar Display Controls=RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY »RunOnce »Local Machine »Run *ScanRegistry=C:\WINDOWS\scanregw.exe /autorun *PCHealth=C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s *SystemTray=SysTray.Exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *POINTER=C:\Programme\Microsoft Hardware\Mouse\point32.exe *HaMFrontPanel=C:\WINDOWS\hampanel /B:Software\Ambient\HaM *CHotKey=mHotkey.exe *NvColorInit=RUNDLL32.EXE NVQTWK.DLL,NvColorInit *ccApp="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" *ccRegVfy="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" *NPROTECT=C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE *Symantec NetDriver Warning=C:\PROGRA~1\SYMNET~1\SNDWARN.EXE +OptionalComponents +IMAIL *Installed=1 +MAPI *NoChange=1 *Installed=1 +MAPI *NoChange=1 *Installed=1 »RunOnce »RunServices *SchedulingAgent=mstask.exe *SSDPSRV=C:\WINDOWS\SYSTEM\ssdpsrv.exe **StateMgr=C:\WINDOWS\System\Restore\StateMgr.exe *StillImageMonitor=C:\WINDOWS\SYSTEM\STIMON.EXE *ccEvtMgr="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" *ScriptBlocking="C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg *CSINJECT.EXE=C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE *NPROTECT=C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE *SymTray - Norton SystemWorks=C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks" *Nisum=C:\Programme\Norton Personal Firewall\NISUM.EXE *ccPxySvc=C:\PROGRA~1\NORTON~3\CCPXYSVC.EXE *Machine Debug Manager=C:\WINDOWS\SYSTEM\MDM.EXE *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *KB891711=C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE »RunServicesOnce »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.disabled *SpybotSD.DisabledFile="C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\blindman.exe" "%1" +.exe *exefile="%1" %* +.hta *htafile=C:\WINDOWS\SYSTEM\MSHTA.EXE "%1" %* +.htm *htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome +.html *htmlfile="C:\PROGRA~1\INTERN~1\iexplore.exe" -nohome +.js *JSFile=C:\WINDOWS\WScript.exe "%1" %* +.jse *JSEFile=C:\WINDOWS\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe "%1" +.scr *scrfile="%1" /S +.txt *txtfile=C:\WINDOWS\NOTEPAD.EXE %1 +.vbs *VBSFile=C:\WINDOWS\WScript.exe "%1" %* +.vbe *VBEFile=C:\WINDOWS\WScript.exe "%1" %* +.wsh *WSHFile=C:\WINDOWS\WScript.exe "%1" %* +.wsf *WSFFile=C:\WINDOWS\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Browser Helper Objects (LM) *Navbho.CNavExtBho.1/{BDF3E430-B101-42AD-A544-FADC6B084872} `InprocServer32=C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll *AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} `InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX »Files »Autostart Folders »Current User *C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\CleanSweep Smart Sweep-Internet Sweep.lnk »Default User *C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk *C:\WINDOWS\Startmenü\Programme\Autostart\CleanSweep Smart Sweep-Internet Sweep.lnk »Local Machine »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=Explorer.exe »Text Files *C:\WINDOWS\msdos.sys *C:\msdos.sys *C:\config.sys *C:\autoexec.bat *C:\WINDOWS\wininit.bak *C:\WINDOWS\winstart.bat *C:\WINDOWS\dosstart.bat *C:\WINDOWS\command\cmdinit.bat »System/Drivers »Running Processes +FF0F1C69=C:\WINDOWS\SYSTEM\KERNEL32.DLL +FFFFE989=C:\WINDOWS\SYSTEM\MSGSRV32.EXE +FFFE49BD=C:\WINDOWS\SYSTEM\mmtask.tsk +FFFE4479=C:\WINDOWS\SYSTEM\MPREXE.EXE +FFFE62CD=C:\WINDOWS\SYSTEM\MSTASK.EXE +FFFE702D=C:\WINDOWS\SYSTEM\SSDPSRV.EXE +FFFEC011=C:\WINDOWS\SYSTEM\STIMON.EXE +FFFEF471=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE +FFFD6295=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE +FFFD705D=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE +FFFD0399=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE +FFFEE019=C:\PROGRAMME\NORTON PERSONAL FIREWALL\NISUM.EXE +FFFDDA2D=C:\PROGRAMME\NORTON PERSONAL FIREWALL\CCPXYSVC.EXE +FFFDAAB1=C:\WINDOWS\SYSTEM\MDM.EXE +FFFC7231=C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE +FFFD1859=C:\WINDOWS\EXPLORER.EXE +FFFB0C45=C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE +FFFA1065=C:\WINDOWS\SYSTEM\SYSTRAY.EXE +FFFAC53D=C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE +FFFAF275=C:\WINDOWS\HAMPANEL.EXE +FFFA9F8D=C:\WINDOWS\SYSTEM\WMIEXE.EXE +FFFAA8CD=C:\WINDOWS\MHOTKEY.EXE +FFF95D9D=C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE +FFF988A5=C:\WINDOWS\RunDLL.exe +FFFB2E19=C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINSM32.EXE +FFF99755=C:\Programme\Norton SystemWorks\Norton CleanSweep\Monwow.exe +FFF7B2AD=C:\WINDOWS\SYSTEM\PSTORES.EXE +FFF5EEFD=C:\WINDOWS\SYSTEM\DDHELP.EXE +FFF6998D=C:\WINDOWS\SYSTEM\SPOOL32.EXE +FFF68821=C:\WINDOWS\SYSTEM\HPZSTATX.EXE +FFF5E749=C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE +FFF7B589=C:\WINDOWS\EXPLORER.EXE +FFF55F45=C:\PROGRAMME\STARTDRECK217\STARTDRECK.EXE »NT Services »Application specific |
@boetger Der gemeldete Trojan.Win32.Agent.bi ist ein Backdoor :http://www.sophos.de/virusinfo/analy...ojagentde.html Du musst dein System neu aufsetzten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board