|
"Nail.exe" LogFile bitte um Hilfe! Logfile of HijackThis v1.99.1 Scan saved at 15:12:54, on 26.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe c:\windows\system32\hqwvqip.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\WINDOWS\System32\dwwin.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe C:\WINDOWS\svcproc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [xvwxhmh] c:\windows\system32\hqwvqip.exe r O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Es kommt immer wieder dass "explorer.exe" geschlossen werden muss-fehlerbericht senden/nicht senden-kennt ihr sicher.... Hast das mit Nail.exe zu tun? |
Hallo TheRealTiffy, Dein System ist nicht aktuell, SP 2 und alle weiteren Sicherheitsupdates müssen installiert sein. Arbeite zunächst dieses durch: http://forum.hijackthis.de/showthread.php?t=3172 Der dort erwähnte "Zufallsschlüssel" ist in Deinem Fall: [xvwxhmh] c:\windows\system32\hqwvqip.exe r Folgende Einträge sind darüberhinaus (siehe Link) zu fixen (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Falls Dir unbekannt ebenfalls: O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing) Manuell löschen: C:\WINDOWS\web\related.htm C:\Programme\FreePOPs\freepopsservice.exe <-- falls unbekannt Neues Logfile und berichten dartus Poste nach Deinen Aktivitäten ein neues Logfile dartus |
so, hab das jetzt gemacht, hat zwar alles nicht so geklappt, denn der zufallsschlüssel war dann halt nen andere und das hat mich nen bisschen verwirrt....außerdem habe ich dann die datei aus dem Zufallsschlüssel nicht im System32 ordner finden und nicht löschen....aber bis jetzt habe ich zumindestens noch keine fehlermeldung bekommen also gehe ich von aus dass es geklappt hat-danke nochmal... Logfile of HijackThis v1.99.1 Scan saved at 18:52:08, on 27.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe c:\windows\system32\iadyvud.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ICQLite\ICQLite.exe C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [chhjdq] c:\windows\system32\iadyvud.exe r O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
shit, jetzt kommt doch wieder die fehlermeldung mit dem explorer: Explorer.EXE hat ein Problem festgestellt und muss beendet werden. Ich dreh echt durch, außerdem krieg ich dann noch von meinem virenprogramm folgende warnun: "adware.BetterInternet" Ich krieg nen föhn und brauch bitte dringen hilfe... |
hallöchen zusammen!habe ein grosses problem.auf meinem rechner ist ein virus oder sowas.es kommt immerwieder nachdem ich es gelöscht habe.vielleicht könnte jemand meine hijacklog lesen und mir helfen.vielen dank Logfile of HijackThis v1.99.1 Scan saved at 19:05:49, on 27.07.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\DIT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\DITEXP.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\PROGRAMME\MEDIA KEY\MAGICKEY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\MEDIA KEY\OSD.EXE C:\PROGRAMME\TELEDAT\IWATCH.EXE C:\VSTASCAN\VSACCESS.EXE C:\PROGRAMME\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE D:\PROGRAMME\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBATREADER6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing) O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [WeatherOnTray] C:\PROGRAMME\HBTOOLS\BIN\4.6.4.0\HBTWEATHERONTRAY.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe" O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MAGICKEY.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.6.4.0\HbtOEAddOn.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZBxdm031YYDE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing) O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253 wenn mir jemand helfen könnte wär ich sehr dankbar.netten und virenfreien abend noch :-) |
@dierosenbluete4 Zitat:
Bei der Registrierung hast du den Nutzungshinweisen zugestimmt und jetzt gegen diese verstoßen! Zitat:
Wie poste ich falsch Fragen, die man nicht stellen sollte Wenn du das gleiche Problem hast: - Poste in diesem Thread nur dann, wenn du eine Lösung gefunden hast. - Folge den Ratschlägen, die in diesem Thread gegeben wurden - Falls es nicht geholfen hat, mache einen neuen Thread auf. 2. Bitte erstelle/korrigiere deinen Log genau nach dieser Anleitung |
Hallo TheRealTiffy, wechsel noch mal in den abgesicherten Modus bei deaktivierter Systemwiederherstellung. Der Zufallsschlüssel ist nun: O4 - HKLM\..\Run: [chhjdq] c:\windows\system32\iadyvud.exe r Fixe diesen Eintrag, einfach zu erkennen an den kleinen "r" bzw. an dem unaussprechlichen Namen, merke Dir den Dateinamen und löschen ihn dann. (Wenn noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken). dartus |
zum abgesicherten modus folgende frage: dachte man muss auf Ausführen-msconfig und bei systemstart diagnosemodus....ist das korrekt? Ansonsten weiß ich nicht wie ich da hin komme..habe es mit F8 beim systemstart versucht, hat aber nix gebracht, da hat sich nur die maus nicht mehr bewegt.. Jetz nochmal zu meinem Problem.. Habe jetzt SP2 und adware und spybot installiert und die letzten beiden auch durchlaufen lassen-haben natürlich ne menge gefunden..nur ein file macht mirv jetz noch sorgen: Adware.BetterInternet.. Ich weiß nicht wie ich das beheben kann, denn jedesmal wenn ich es löschen will geht das nicht-das nervt.. Das problem mit dem explorer und nail.exe habe ich seit der installation von SP2 nicht mehr.. |
Hallo TheRealTiffy, so wie Du beschrieben hast, ist es auch möglich, in den abgesicherten Modus zu kommen. Welche Datei wurde als "Adware.BetterInternet" gemeldet? Hast Du die Datei so wie von mir in vorherigen Post beschrieben gelöscht (die Datei ändert bei jeden Neustart ihren Namen)? Überprüfe mal Dein System mit Escan und lösche alle gefunden Datei wie in der Anleitung beschrieben. dartus |
Also ich habe e-scan durchlaufen lassen, habe auch ein logfile erhalten, aber da steht nihts konkretes über Viren drin...Ich finde keine "Virus Log Information" nur die "mwav.log".... das einzige, was irgendwelche informationen gibt ist aus der "mway.log": Fri Jul 29 13:55:13 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri Jul 29 13:55:13 2005 => Loading Spyware Signatures from FIXED Database... Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Fri Jul 29 13:55:22 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Fri Jul 29 13:55:22 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Jul 29 13:55:27 2005 => Offending value found in HKLM\Software\magnet\handlers\bearshare !!! Fri Jul 29 13:55:27 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. ..... Fri Jul 29 14:53:56 2005 => ***** Scan vollständig. ***** Fri Jul 29 14:53:56 2005 => Gescannte Dateien: 49611 Fri Jul 29 14:53:56 2005 => Gefundene Viren: 30 Fri Jul 29 14:53:56 2005 => Anzahl der desinfizierten Dateien: 0 Fri Jul 29 14:53:56 2005 => Umbenannte Dateien: 0 Fri Jul 29 14:53:56 2005 => Anzahl der gelöschten Dateien: 0 Fri Jul 29 14:53:56 2005 => Anzahl Fehler: 82 Fri Jul 29 14:53:56 2005 => Zeit vergangen: 00:59:11 Fri Jul 29 14:53:56 2005 => Virus Datenbank Datum: 2005/07/28 Fri Jul 29 14:53:56 2005 => Virus Datenbank Zähler: 140334 ansonsten kann ich da nix raus schließen, kann die probleme auch nicht mit der software beheben, muss das dann kaufen... Das Problem mit "Adware.BetterInternet" scheint wohl größer zu sein als ich dacht-man kann es mit keinem Programm löschen-hab gegoogelt... Hiiiiilf :heulen: eeeeee |
Lese Dir die Anleitung zum escan nochmals genau durch, besonders den Abschnitt zur Datei find.rar bzw. find.bat. Poste das mit dieser Datei erzeugte Logfile. |
das hatte ich ja eben nicht verstanden-wo ist dir find.rar bzw. find.bat datei?wo finde ich die? |
Hallo, http://www.mainzelahr.de/smile/schilder/010.gif ganz einfach in der Anleitung unter "eScan Anwenden" Punkt [5] ist das beschrieben (siehe meine Signatur) du musst die find.rar wie dort beschrieben speichern unter usw. |
ahaaaaa,da ich die anleitung direkt ausgedruck hatte, habe ich nicht gesehen dass man "find.rar" anklicken konnte *gg* Ich werd das programm dann nochmal erneut durchlaufen lassen und es dann posten-danke nochmals... |
sooo liebe leute, da habt ihr was ihr braucht um mir zu helfen *gg*... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Fri Jul 29 14:47:00 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.* Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: Keine Aktion vorgenommen. Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: Keine Aktion vorgenommen. Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: Keine Aktion vorgenommen. Fri Jul 29 16:38:22 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.* Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: Keine Aktion vorgenommen. Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: Keine Aktion vorgenommen. Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: Keine Aktion vorgenommen. Sun Jul 31 19:54:31 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.* ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 29 14:00:41 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: No Action Taken. Fri Jul 29 14:11:18 2005 => File C:\System Volume Information\_restore{D65C1219-9FEE-4712-B664-E2B76D16EF71}\RP1\A0000004.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: No Action Taken. Fri Jul 29 14:16:16 2005 => File C:\System Volume Information\_restore{D65C1219-9FEE-4712-B664-E2B76D16EF71}\RP2\A0004670.exe tagged as "not-a-virus:AdWare.MediaMotor.f". Action Taken: No Action Taken. Fri Jul 29 14:25:10 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: No Action Taken. Fri Jul 29 14:47:25 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: No Action Taken. Fri Jul 29 14:47:28 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken. Fri Jul 29 14:47:52 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: No Action Taken. Fri Jul 29 15:43:33 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: Keine Aktion vorgenommen. Fri Jul 29 16:07:25 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen. Fri Jul 29 16:39:11 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: Keine Aktion vorgenommen. Fri Jul 29 16:39:15 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: Keine Aktion vorgenommen. Fri Jul 29 16:39:59 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 18:40:41 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 18:52:04 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\BKN\aurareco.exe tagged as "not-a-virus:AdWare.Win32.BetterInternet.m". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 18:52:05 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 19:22:31 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 19:55:21 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 19:55:25 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: Keine Aktion vorgenommen. Sun Jul 31 19:56:09 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Lade Dir Spybot-S&D und Ad-Aware und update beide Programme. Widowstaste+R --> %temp% --> <enter> Inhalt löschen --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und lösche folgende Dateien/Ordner C:\WINDOWS\mm63.ocx G:\Setups\Bearshare G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.seri al.number.rar scann jetzt mit Spybot und Ad-aware und lösche alle Funde neu booten Aktuelles HJT posten lade Regseeker und säubere deine Registrie |
ok, hab alles gemacht..hier meine Hijackthis daten... Anbei habe ich auch noch das ergebnis von Spybot S&D...ein einzieges problem konnte nicht behoben werden,da es angeblich in Gebrauch sein soll-hat das mit meiner Virenmeldung "Adware.BetterInternet" zu tun??? Logfile of HijackThis v1.99.1 Scan saved at 23:30:28, on 31.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe c:\windows\system32\exhldcu.exe C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [ejtmunq] c:\windows\system32\exhldcu.exe r O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Und hier spybot S&D---: MediaMotor: Program directory (Directory, fixed) c:\program files\joystick networks\setup\ MediaMotor: Executable (File, fixed) C:\WINDOWS\unstall.exe MediaMotor: Executable (File, fixed) C:\WINDOWS\hisistheurls.exe MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\Screen Savers.url MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\Joystick News.url MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\Imgiant Instant Messenger.url MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\free games to win real cash.url MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\Celebrity News.url MediaMotor: Link (File, fixed) c:\Documents and Settings\All Users\Desktop\Cartoons and Animations.url MediaMotor: Interface (Registry key, fixed) HKEY_CLASSES_ROOT\Interface\{B2EEDA99-DA99-4D0D-9F7F-143C30521388} MediaMotor: Interface (Registry key, fixed) HKEY_CLASSES_ROOT\Interface\{A9136CFD-FD01-41B8-9969-0B37720ED8AB} AbetterInternet: Web page (File, fixed) C:\WINDOWS\abiuninst.htm AbetterInternet: Settings (Registry key, fixed) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc AbetterInternet: Settings (Registry key, fixing failed) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc SpyHunter: Program group (Directory, fixed) C:\Programme\Enigma Software Group\ |
deinstalliere unter Systemsteuerung/Software das Programm FreePOPs und andere dir nicht bekannte Software arbeite folgendes ab http://forum.hijackthis.de/showthread.php?t=3172 der Zufallsschlüssel bei dir ist c:\windows\system32\exhldcu.exe r zu erkennen an dem zusätzlichen r. Ändert sich mit jeden Neustart fixe im abgesicherten modus bei deaktivierter Systemwiederherstellung noch folgende Einträge: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [ejtmunq] c:\windows\system32\exhldcu.exe r O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing) lösche von Hand soweit noch vorhanden: C:\WINDOWS\Nail.exe c:\windows\system32\exhldcu.exe C:\Programme\FreePOPs poste ein neues HJT |
Ok, ich werde es versuchen. Anbei nochmal ein kleiner Bericht von deinem Online Virenscanner-und das, obwolh ich alles was ihr mir gesagt habe durchlaufen lassen habe und beseitigt habe.... Ereignis Zustand Standort Adware:adware/transponder Nicht desinfiziert C:\WINDOWS\abiuninst.htm Spyware:spyware/adclicker Nicht desinfiziert C:\WINDOWS\usta32.ini Adware:adware/aurora Nicht desinfiziert HKEY_CURRENT_USER\SOFTWARE\AURORA Adware:adware/savenow Nicht desinfiziert HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET Spyware:Spyware/Media-motor Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dc1.ocx Adware:Adware/Transponder Nicht desinfiziert C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dc2.exe Adware:Adware/Transponder Nicht desinfiziert C:\WINDOWS\system32\drykrg.exe Adware:Adware/SAHAgent Nicht desinfiziert G:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\Dg2.rar[PhotoMagic.serial.number.exe][mmwork.exe] Adware:Adware/KeenValue Nicht desinfiziert G:\Setups\Incredimail\incredimail_install.exe besonders dieses "Aurora" geht mir zwischendurch auf die nerven,und "betterInternet" das hier nicht aufgelistet ist... och menno, das kann doch echt nicht mehr normal sein oder? |
Du hast ja sicher die Systemwiederherstellung noch deaktiviert leere deinen Papierkorb Sollte da nichts drin sein, lade den Total Commander und nehme folgende Einstellung vor: Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA) C:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500 C:\WINDOWS\abiuninst.htm C:\WINDOWS\usta32.ini G:\RECYCLER\S-1-5-21-1957994488-113007714-1343024091-500\ G:\Setups\Incredimail\ lade dir Regseeker und säubere damit die Registry (Haken unten links muss gesetzt sein) Kontrolliere nach dem säubern ob die beiden Schlüssel noch vorhanden sind, wenn ja von Hand löschen HKEY_CURRENT_USER\SOFTWARE\AURORA HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\MAGNET poste ein aktuelles HJT |
Logfile of HijackThis v1.99.1 Scan saved at 00:13:17, on 02.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [RamBooster] C:\PROGRA~2\RAMBOO~1\RAMBOO~1.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Soo, hab mal wieder alles gemacht ,was ihr gesagt habt...nur den eintrag "aurora" in der registry konne ich nicht mehr finden-also auch nicht löschern... wenigstens ausnahmsweise mal keine spur voin "Nail.exe" im Hijack log.. Aber die Virenmeldung über "BetterInternet" kriegt ich immernoch und zwischendurch mal die virenmeldung "Adware.Medload" kein plan wo ich mich das zeug her geholt habe-lade nichts "illegales" runter oder so...voll komisch und ihc hab das gefühl, dass wird immer mehr... |
also im Logfile ist nichts schlechtes mehr zu sehen, Zitat:
|
es ist wird kein geanuer Pfad gezeigt, aber mein Virenscanner sagt, dass mehrere dateien/files betroffen sind.. hier mal was von meiner Virusscan-Homepage, schau mal unter was für namen (vor allem der letzte) "BetterInternet" noch bekannt ist...: File names: Varies: Bi.dll and Biprep.exe Belt.exe Belt.ini Belt.inf Buddy.exe ceres.dll Susp.exe Susp.ini Susp.inf Mxtarget FFGDEGOJ.ini BTGrab.dll laziqn.exe thnall1b.exe thnall1p.exe thnall2r.exe thnall1s CCEJHONM.ini IDDJHJM.ini farmmext.exe dlmax.dll speeryox.dll nnmzoq.exe wbtvsffd.exe speer2.dll VoiceIP.dll morphacl.dll Pynix.dll banner.dll NAIL.EXE |
dann schau nochmal hier vielleicht hilft das in deinem Fall weiter http://www.spyware-removal.com/bette...uninstall.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board