|
Probleme mit RazeSpyware Hallo an alle, Ich habe seit kurzer Zeit den Rechner einer Freundin bei mir. Das Problem ist, das seit kurzem anstatt ihr Desktopbild, ein rot-schwarzer Hintergrund mit blinkender Warnung "DANGER:SPYWARE" prangert. Er zeigt mir an, dass das System mit spyware, spyware tracks usw. verunreinigt ist. Darunter befinden sich Razespyware-Verlinkungen mit dem Hinweis das man dafür ca. 50 $ bezahlen soll. Daraufhin habe ich im abgesicherte Modus scans gemacht und auch einiges beseitigt. Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche. Hier mal die Hijacklogfiles des Rechners. Logfile of HijackThis v1.99.1 Scan saved at 08:44:57, on 01.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\tppaldr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\tppnttry.exe C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe O4 - HKLM\..\Run: [eeppu.exe] C:\WINDOWS\system32\eeppu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63 O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ich hoffe ihr könnt mir weiterhelfen. Danke an euch mfg stringx1 |
Hallo, Zitat:
Und der Grund: Zitat:
Gruß Mellosun |
Hallo, Zitat:
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente. Neuaufsetzen könnte man trotzdem in Erwägung ziehen, da es kompliziert werden könnte. Falls nicht gewünscht, beende mal den Prozess C:\WINDOWS\tppnttry.exe im Taskmanager, überprüfe die zugehörige Datei hier und poste das Ergebnis. Edit Falls vorhanden die Datei C:\WINDOWS\system32\eeppu.exe ebenfalls prüfen. Grüße Wildone |
Hallo, Zitat:
Natürlich lasse ich es mir gern erklären, wie das zustande kommt, falls meine Infos falsch sind! Und wenn das jemand mal machen würde, könnte er mir auch gleich beantworten, was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......:mad: Gruß Mellosun |
Hallo, Zitat:
Zitat:
Zitat:
Zitat:
Jetzt sind aber hier bei dem TE die Adressen dieser Server vertauscht worden, mit welchen die in der Ukraine sitzen, damit kann man jetzt natürlich einen haufen "Schabernack" treiben, was z.B. häufig gemacht wird ist die Google Suchergebnisse umzuleiten (User klickt auf Link, gibt somit einen Domainnamen im Browser ein, Server aus der Ukraine soll diesen den google Ergbnissen zuordnen, tut dieses aber nicht, sondern leitet ihn zu einer IP des Sponsors um). Was man damit allerdings auch ohne Probleme machen könnte (wird teilweise auch gemach): User gibt deutsch-bank.de ein Server leitet auf die aktuellste Pfishingseite um, und schon kann das Unglück seinen Lauf nehmen. Vorteil zum "normalen" Pfishing, man kann immer auf die neu aufgemachte Seite umleiten, da naturgemäß solche Seiten sehr schnell wieder geschloßen werden, man muss also nur den Server in der Ukraine immerwieder updaten und nicht den PC des Users. Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben. Grüße Wildone |
Zitat:
Gruß Mellosun |
Hallo nochmal und danke für die Antwort. Wollte nur mitteilen, das diese nervige Razespywaremitteilung vom Desktop verschwunden ist, ohne Neuaufsetzung des Sytems. Aber auch erst nachdem ich CCleaner und nochmals ewido-antispyware im abgesicherten Modus benutzt habe. Hatte dann ein grau-weißblinkenden Hintergrund, wobei ich aber die rechte Maustaste wieder benutzen konnte, die mir ja verwehrt blieb solange diese Warnung auf dem Desktop prangerte. Gelöst habe ich das Problem mit dem grau-weißen Hintergrund über <Eigenschaften Anzeige> <Desktop> <Desktop anpassen> <web>. Habe den Hacken aus security entfernt. Jetzt ist wieder der gute alte Desktophintergrund zu sehen. Konnte auch die Datei C:\WINDOWS\system32\eeppu.exe nicht mehr finden. Auch nicht mehr in der logfile von hijackthis. Ich habe übrigens nur das Problem, die O17 Einträge in der HKLM zu entfernen. Habe diese Einträge im abgesicherten Modus mit hijackthis gefixt, waren aber beim nächsten Hochfahren des Systems wieder anwesend. Bin etwas überfragt wie ich sie sonst noch wegbekomme. LG stringx1 |
Poste nochmals ein Log von HJT. |
Hallo felix, hier das neue logfile Logfile of HijackThis v1.99.1 Scan saved at 19:51:12, on 04.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\tppaldr.exe C:\WINDOWS\tppnttry.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [uxgfy.exe] C:\WINDOWS\system32\uxgfy.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63 O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe LG stringx1 |
Der PC ist nicht sauber. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es. |
Habe das system mit F-Secure Blacklight gescannt. Wurde aber nichts gefunden. Habe danach mit ewido gescannt im abgesicherten Modus->wurde auch nichts gefunden. Weiter gescannt mit ewido im normalen Modus -> hat den TrojanerDNSChanger.ef gefunden. Wollte ihn löschen, ließ sich aber nicht machen. Habe dann nochmal die O17 Einträge gefixt und habe die backup-Einträge gelöscht. Habe das system wieder hochgefahren und ewido hat diesmal keinen Trojaner mehr gefunden. Allerdings sind die O17-Einträge immernoch da. logfile folgt |
Hallo, poste mal die genauen Meldungen von Ewido (incl. genauem Pfad). Ev. kannst du auch mal die vier Logfiles der Datfind.bat posten, aber nur die Dateien der letzten drei Monate abkopieren. Grüße Wildone |
Hallöchen, also hier das Ergebnis der datfindbat Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4B6-F305 Verzeichnis von C:\WINDOWS\system32 05.08.2006 14:35 31.767 vsconfig.xml 04.08.2006 16:51 4.212 zllictbl.dat 04.08.2006 16:22 278.045 {F0F1CCC4-15BE-4097-A6F5-566D078473E7}.exe 04.08.2006 11:11 341.032 FNTCACHE.DAT 04.08.2006 09:13 2.206 wpa.dbl 27.07.2006 10:37 278.045 {368F3173-8724-4355-8008-44279C8124BA}.exe 24.07.2006 18:56 278.045 {4FAE9C4E-35D4-4463-9CF3-3FA239EEDBF0}.exe 24.07.2006 18:55 705 {8E1B8557-EBDB-4D65-A98F-90871AF62D92}.exe 23.07.2006 10:59 45.568 {BDE49DA4-D303-4F16-B286-E25131E2976C}.exe 23.07.2006 06:21 51.268 csjsu.exe 22.07.2006 19:51 57.384 avsda.dll 21.07.2006 14:00 311.604 perfh009.dat 21.07.2006 14:00 316.594 perfh007.dat 21.07.2006 14:00 39.992 perfc009.dat 21.07.2006 14:00 48.156 perfc007.dat 21.07.2006 14:00 723.744 PerfStringBackup.INI 01.06.2006 20:47 163.840 jgdw400.dll 01.06.2006 20:47 27.648 jgpl400.dll 19.05.2006 15:09 95.744 iphlpapi.dll 19.05.2006 15:09 148.480 dnsapi.dll 19.05.2006 15:09 112.128 dhcpcsvc.dll 18.05.2006 07:36 450.560 jscript.dll 16.05.2006 10:38 499.712 msvcp71.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4B6-F305 Verzeichnis von C:\DOKUME~1\USER1~1\LOKALE~1\Temp 05.08.2006 14:38 512 ~DF5F04.tmp 05.08.2006 14:38 512 ~DF5B93.tmp 05.08.2006 14:35 16.384 ~DF464C.tmp 04.08.2006 21:46 16.384 ~DF560D.tmp 04.08.2006 21:21 16.384 ~DF4D82.tmp 04.08.2006 21:16 16.384 ~DFF033.tmp 6 Datei(en) 66.560 Bytes 0 Verzeichnis(se), 14.653.419.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4B6-F305 Verzeichnis von C:\WINDOWS 05.08.2006 14:40 89.124 WindowsUpdate.log 05.08.2006 14:35 84.085 setupapi.log 05.08.2006 14:35 0 0.log 05.08.2006 14:34 2.048 bootstat.dat 04.08.2006 21:50 884 SchedLgU.Txt 04.08.2006 21:46 923 spupdsvc.log 04.08.2006 21:26 33.159 iis6.log 04.08.2006 21:26 10.252 comsetup.log 04.08.2006 21:26 14.105 tsoc.log 04.08.2006 21:26 1.555 tabletoc.log 04.08.2006 21:26 1.355 imsins.log 04.08.2006 21:26 1.710 ocmsn.log 04.08.2006 21:26 6.217 ntdtcsetup.log 04.08.2006 21:26 9.434 KB917159.log 04.08.2006 21:26 2.125 MedCtrOC.log 04.08.2006 21:26 5.415 netfxocm.log 04.08.2006 21:26 14.580 ocgen.log 04.08.2006 21:26 1.545 msgsocm.log 04.08.2006 21:26 30.912 FaxSetup.log 04.08.2006 21:26 9.330 msmqinst.log 04.08.2006 21:26 1.355 imsins.BAK 04.08.2006 21:26 22.964 KB911564.log 04.08.2006 21:26 148 wmsetup.log 04.08.2006 21:26 9.409 KB918439.log 04.08.2006 21:25 10.143 KB914388.log 04.08.2006 21:25 825 updspapi.log 04.08.2006 21:25 8.259 KB917344.log 04.08.2006 21:25 0 setuperr.log 04.08.2006 21:25 0 setupact.log 04.08.2006 20:40 35.966 ModemLog_Sitecom 56k USB modem DC-009v3.001a.txt 30.07.2006 15:09 200.704 Bilder.exe 24.07.2006 18:38 6.400 balloon.wav 24.07.2006 18:25 4.517 rdt.ini 23.07.2006 06:02 1.082.279 setupapi.log.0.old 22.07.2006 18:49 5.900 ModemLog_Dr. Neuhaus CYBERMOD 33.6 V.34+ VOICE #2.txt 20.06.2006 20:37 4.524 ModemLog_Kommunikationskabel zwischen zwei Computern.txt 14.06.2006 18:28 3.040 ModemLog_Dr. Neuhaus CYBERMOD 33.6 V.34+ VOICE.txt 30.05.2006 12:19 11.572 ModemLog_Sportster MessagePlus Pro V90 PnP.txt 13.05.2006 12:50 763 win.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F4B6-F305 Verzeichnis von C:\ 05.08.2006 14:43 0 sys.txt 05.08.2006 14:42 5.514 system.txt 05.08.2006 14:41 539 systemtemp.txt 05.08.2006 14:40 95.832 system32.txt 05.08.2006 14:34 535.904.256 hiberfil.sys 05.08.2006 14:34 805.306.368 pagefile.sys 24.07.2006 18:24 3.168 cclog.txt 30.03.2006 20:41 211 boot.ini 30.03.2006 20:32 47.564 NTDETECT.COM 30.03.2006 20:32 251.184 ntldr 18.03.2006 13:12 0 CONFIG.SYS 18.03.2006 13:12 0 IO.SYS 18.03.2006 13:12 0 MSDOS.SYS 18.03.2006 13:12 0 AUTOEXEC.BAT 21.07.2003 23:32 4.952 bootfont.bin 15 Datei(en) 1.341.619.588 Bytes 0 Verzeichnis(se), 14.653.390.848 Bytes frei Das war es erstmal dazu hier der ewido-bericht. Trojaner ist doch noch vorhanden. ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 21:49:21 04.08.2006 + Scan-Ergebnis: [1188] VM_01110000 -> Trojan.DNSChanger.ef : Fehler während der Säuberung. [2020] VM_003B0000 -> Trojan.DNSChanger.ef : Fehler während der Säuberung. ::Berichtende Pfad folgt Lg stringx1 |
Hallo, lösche mal folgende Dateien (alle im System32 Ordner) mit killbox mit der Option "delete on reboot": 04.08.2006 16:22 278.045 {F0F1CCC4-15BE-4097-A6F5-566D078473E7}.exe 27.07.2006 10:37 278.045 {368F3173-8724-4355-8008-44279C8124BA}.exe 24.07.2006 18:56 278.045 {4FAE9C4E-35D4-4463-9CF3-3FA239EEDBF0}.exe 24.07.2006 18:55 705 {8E1B8557-EBDB-4D65-A98F-90871AF62D92}.exe 23.07.2006 10:59 45.568 {BDE49DA4-D303-4F16-B286-E25131E2976C}.exe 23.07.2006 06:21 51.268 csjsu.exe danach machst du einen Onlinescan bei Panda und postest das Ergebnis. Edit Überprüfe mal die Datei C:\Windows\Bilder.exe hier und poste das Ergebnis. Grüße Wildone |
Hi :) hier die Auswertung von Panda-acitvescan>lokale Laufwerke: Ereignis Zustand Standort Virus:Trj/Ruins.MB Spyware:Cookie/Mediaplex Adware:adware/winprotect Dialer:Dialer.Gen Adware:adware/sbsoft die Auswertung von Virustotal - Bilder.exe: STATUS: FINISHEDComplete scanning result of "Bilder.exe", received in VirusTotal at 08.06.2006, 18:33:51 (CET). Antivirus Version Update Result AntiVir 6.35.1.0 08.05.2006 no virus found Authentium 4.93.8 08.06.2006 no virus found Avast 4.7.844.0 08.04.2006 no virus found AVG 386 08.05.2006 no virus found BitDefender 7.2 08.06.2006 no virus found CAT-QuickHeal 8.00 08.04.2006 no virus found ClamAV devel-20060426 08.06.2006 no virus found DrWeb 4.33 08.06.2006 no virus found eTrust-InoculateIT 23.72.88 08.06.2006 no virus found eTrust-Vet 12.6.2324 08.04.2006 no virus found Ewido 4.0 08.06.2006 no virus found Fortinet 2.77.0.0 08.06.2006 suspicious F-Prot 3.16f 08.06.2006 no virus found F-Prot4 4.2.1.29 08.06.2006 no virus found Ikarus 0.2.65.0 08.04.2006 no virus found Kaspersky 4.0.2.24 08.06.2006 no virus found McAfee 4822 08.04.2006 potentially unwanted program Dialer-RAS Microsoft 1.1508 08.04.2006 no virus found NOD32v2 1.1694 08.05.2006 a variant of Win32/Dialer.WarpMedia Norman 5.90.23 08.04.2006 no virus found Panda 9.0.0.4 08.06.2006 Dialer.Gen Sophos 4.08.0 08.06.2006 no virus found Symantec 8.0 08.06.2006 no virus found TheHacker 5.9.8.186 08.04.2006 no virus found UNA 1.83 08.04.2006 no virus found VBA32 3.11.0 08.06.2006 no virus found VirusBuster 4.3.7:9 08.06.2006 no virus found Aditional Information File size: 200704 bytes MD5: 402948acd2e374e9b4241c6a15fbf482 SHA1: 3228bc0fdb68e5128a981336fd0af5d2da80afc4 packers: UPX LG stringx1 |
Hallo, standen bei Panda die Pfade der jeweiligen Funde nicht dabei? Wie ist dasd eigentlich jetzt, wenn du die O17 Einträge fixt, kommen sie dann immernoch zurück? Grüße Wildone |
Hallo Wildone, Hier die Pfade von der Pandaauswertung: C:\Dokumente und Einstellungen\User1\Cookie C:\Dokumente und Einstellungen\User1\Cookie C:\Dokumente und Einstellungen\User1\Cookie C:\WINDOWS\balloon.wav C:\WINDOWS\Bilder.exe C:\WINDOWS\rdt.ini Und zu zweitens: im abgesicherten Modus sind die O17-Einträge nicht mehr vorhanden, aber wenn ich im normalen Modus hijackthis starte, sind sie noch vorhanden. LG stringx1 |
Hallo, fixe sie mal im normalen Modus, sind sie nach einem Neustart wieder da? das kannst du gleich mal löschen: C:\WINDOWS\balloon.wav C:\WINDOWS\Bilder.exe C:\WINDOWS\rdt.ini poste außerdem mal ein Log von Silentrunners. Grüße Wildone |
Habe nochmal im normalmodus gefixt. Leider sind die O17- Einträge nach dem Neustart immernoch da.:crazy: hier die Auswertung von silentrunners: "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "TPP Auto Loader" = "C:\WINDOWS\tppaldr.exe" ["Cypress Semiconductor"] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "rxrfv.exe" = "C:\WINDOWS\system32\rxrfv.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler" -> {HKLM...CLSID} = "Corel Media Folder Root Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder" -> {HKLM...CLSID} = "Corel Media Find Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler" -> {HKLM...CLSID} = "Corel Media Folder Copy Hook Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*i" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csixk.exe" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\User 1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "User 1" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Corel MEDIA FOLDERS INDEXER 8" -> shortcut to: "C:\Corel\Graphics8\Programs\MFIndexer.exe " ["Corel Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 53 seconds, including 9 seconds for message boxes) Wenn alles nicht mehr geht, muß ich den Rechner halt neu aufsetzen. |
Hallo, lösche folgende Dateien mit killbox mit der Option "delete on reboot": C:\WINDOWS\system32\rxrfv.exe C:\WINDOWS\system32\csixk.exe (falls vorhanden) danach postest du ein neues Log von Silentrunners. Grüße Wildone |
Hallo Wildone,:) Die rxrfv.exe existiert nicht mehr. Andessen Stelle steht jetzt die "C:\WINDOWS\system32\afmll.exe". Die "System" = "csixk.exe" ist nicht auffindbar Auswertung: "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "TPP Auto Loader" = "C:\WINDOWS\tppaldr.exe" ["Cypress Semiconductor"] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "afmll.exe" = "C:\WINDOWS\system32\afmll.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler" -> {HKLM...CLSID} = "Corel Media Folder Root Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder" -> {HKLM...CLSID} = "Corel Media Find Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler" -> {HKLM...CLSID} = "Corel Media Folder Copy Hook Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*Z" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csixk.exe" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\User 1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "User 1" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Corel MEDIA FOLDERS INDEXER 8" -> shortcut to: "C:\Corel\Graphics8\Programs\MFIndexer.exe " ["Corel Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 46 seconds, including 4 seconds for message boxes) LG stringx1 |
Hallo, existiert sie nicht mehr weil du sie gelöscht hast? Wenn nicht dann löschst du halt die C:\WINDOWS\system32\afmll.exe mit killbox mit der Option delete on reboot. Grüße Wildone |
Hi, Die Datei hatte sich wieder geändert in "C:\WINDOWS\system32\xskln.exe. Habe diese mit delete on reboot gelöscht und danach mit silent runners gescannt. In der Auswertung steht sie noch drin, aber als ich die sys32 durchgesehen habe, war sie nicht mehr vorhanden. Hier der scan nach dem löschen der Datei: "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "TPP Auto Loader" = "C:\WINDOWS\tppaldr.exe" ["Cypress Semiconductor"] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "xskln.exe" = "C:\WINDOWS\system32\xskln.exe" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{0A082D00-EC93-11D0-B1E6-80580BC10627}" = "Corel Media Folder Root Menu Handler" -> {HKLM...CLSID} = "Corel Media Folder Root Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" = "Folder To Corel Media Folder Menu Handler" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{854AF161-1AE1-11D1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{E856F161-1AE5-11d1-AB9B-00C0F00683EB}" = "Corel Media Folder" -> {HKLM...CLSID} = "Corel Media Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{CDB89701-262F-11D1-AB9C-00C0F00683EB}" = "Corel Media Find Folder" -> {HKLM...CLSID} = "Corel Media Find Folder" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{F8152501-455F-11D1-B1E6-444553540000}" = "Corel Media Folder Copy Hook Handler" -> {HKLM...CLSID} = "Corel Media Folder Copy Hook Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] "{8E524B0D-04F0-11D1-B74A-00A0C90646A4}" = "IconFactTemp.NSIconHandlerFactory" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{A2AC368A-F883-11D0-B745-00A0C90646A4}" = "NSFiltManDll.FiltManCom" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CNSFlt80.dll" ["Corel Corporation"] "{B63FCD5A-2396-11D1-B762-00A0C90646A4}" = "*a" (unwritable string) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFnd80.dll" ["Corel Corporation"] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ INFECTION WARNING! "System" = "csixk.exe" [file not found] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}" -> {HKLM...CLSID} = "CContextScan Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."] FolderToCorelMediaFolder\(Default) = "{0FBF99C1-4127-11D1-B1E6-C17E96D9180A}" -> {HKLM...CLSID} = "Folder To Corel Media Folder Menu Handler" \InProcServer32\(Default) = "C:\Corel\Graphics8\programs\CMFFld80.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] VersionsMenu\(Default) = "{03170921-4754-11cf-AB9A-00C0F00683EB}" -> {HKLM...CLSID} = "Corel Versions" \InProcServer32\(Default) = "C:\COREL\Versions\CVersion.dll" ["Corel Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\User 1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "User 1" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Corel MEDIA FOLDERS INDEXER 8" -> shortcut to: "C:\Corel\Graphics8\Programs\MFIndexer.exe " ["Corel Corporation"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided) -> {HKLM...CLSID} = "Yahoo! Toolbar" \InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."] NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 41 seconds, including 4 seconds for message boxes) LG und vielen lieben Dank für die Hilfe |
Hallo, was ich immer wissen muss, hat sich die Datei nach dem löschen wieder hergestellt, oder einfach nach einem Neustart. Versuche hjetzt mal die O17 Einträge zu fixen, kommen sie nun wieder? Grüße Wildone |
Hey suuuuuuuuuper freu. Auch nach dem Neustart sind O17-Einträge verschwunden. Sytem noch mal mit ewido gescannt und TrojanDNSChanger auch aus dem Speicher verschwunden. hier die logfile von hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 08:17:55, on 08.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\tppaldr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe vielen vielen Dank *freu*:) für deine Hilfe LG stringx1 |
Hallo, okay, dann war es das, überlege dir mal wo du dir den Spass eingehandelt haben könntest! Zukünftig keine Dateien aus unseriösen Quellen mehr ausführen und außerdem den IE sicher konfigurieren (oder FF benutzen). Grüße Wildone |
Klaro werde meiner Freundin ausrichten, dass sie öfters mal schauen soll, wo und was sie auf ihren Rechner lädt. Da ich ihn ihr den Rechner demnächst wieder übergeben kann. Allerdingfs müßte sie sich dann Gedanken machen, da ich nicht weiß wo sie rumsurft. Also nochmal vielen lieben Dank LG stringx1:) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board