|
Werbefenster Windows alert/ms-dos alert/spyware etc Guten Abend auch werde von diesen Werbefenstern geplagt ! Ad-Aware, Spybot S&D sowie AntiVir PE sind installiert und werden regelmässig updated und laufen gelassen. Heute habe ich Malwarebytes Anti-Malware runtergeladen und laufen lassen. Dann habe ich HiJackThis laufen lassen und folgendes Protokoll bekommen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:23:30, on 10.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\abc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [uutta] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe uutta O4 - HKCU\..\Run: [cdtdbhdch] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe cdtdbhdch O4 - HKCU\..\Run: [ygssaaqkky] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe ygssaaqkky O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by136fd.bay136.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8562 bytes Trotzdem melden sich die Werbefenster mehr und mehr. Ich freue mich, wenn auch mir geholfen werden kann. LG. hexlis |
Hallo und :hallo: Bitte poste den Bericht von Malwarebytes. Lasse folgende Datein auf VirusTotal - Free Online Virus and Malware Scan auswerten und poste das Ergebnis. Code: C:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe |
Hallo und herzlichen Dank für die rassige Antwort - Kompliment! Von den vier aufgeführten Dateien habe ich leider nur die erste gefunden, dafür aber in 4facher Ausführung: 1. Datei ygssaaqkky.dat empfangen 2008.06.10 20:09:34 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.11.0 2008.06.10 - AntiVir 7.8.0.55 2008.06.10 - Authentium 5.1.0.4 2008.06.10 - Avast 4.8.1195.0 2008.06.10 - AVG 7.5.0.516 2008.06.10 - BitDefender 7.2 2008.06.10 - CAT-QuickHeal 9.50 2008.06.10 - ClamAV 0.92.1 2008.06.10 - DrWeb 4.44.0.09170 2008.06.10 - eSafe 7.0.15.0 2008.06.10 - eTrust-Vet 31.6.5862 2008.06.10 - Ewido 4.0 2008.06.10 - F-Prot 4.4.4.56 2008.06.10 - F-Secure 6.70.13260.0 2008.06.10 - Fortinet 3.14.0.0 2008.06.10 - GData 2.0.7306.1023 2008.06.10 - Ikarus T3.1.1.26.0 2008.06.10 - Kaspersky 7.0.0.125 2008.06.10 - McAfee 5314 2008.06.10 - Microsoft 1.3604 2008.06.10 - NOD32v2 3173 2008.06.10 - Norman 5.80.02 2008.06.09 - Panda 9.0.0.4 2008.06.09 - Prevx1 V2 2008.06.10 - Rising 20.48.12.00 2008.06.10 - Sophos 4.30.0 2008.06.10 - Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.10 - TheHacker 6.2.92.341 2008.06.10 - VBA32 3.12.6.7 2008.06.10 - VirusBuster 4.3.26:9 2008.06.10 - Webwasher-Gateway 6.6.2 2008.06.10 - weitere Informationen File size: 4925 bytes MD5...: bcf53a4cc8c442a7b3dc94b51c108108 SHA1..: caa55f666524c14d4336e77e287476e4dda66c13 SHA256: 0dab6aa5aac2b27d81375af08c1bc48896de7813902b7120ec00d866fe5e5054 SHA512: eddcef050dd55c3d869d5bd5b999777d67fb450c890731c3c1ee793862212a8f 08067d657d0e74ec3383365296f4836f8bdc525085bf66ac3779496a2796ad53 PEiD..: - PEInfo: - 2. Datei ygssaaqkky.exe empfangen 2008.06.10 20:12:52 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 2/32 (6.25%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit is zwischen 46 und 66 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.11.0 2008.06.10 - AntiVir 7.8.0.55 2008.06.10 - Authentium 5.1.0.4 2008.06.10 - Avast 4.8.1195.0 2008.06.10 - AVG 7.5.0.516 2008.06.10 - BitDefender 7.2 2008.06.10 - CAT-QuickHeal 9.50 2008.06.10 Win32.Trojan.Obfuscated.aqn.3 ClamAV 0.92.1 2008.06.10 - DrWeb 4.44.0.09170 2008.06.10 - eSafe 7.0.15.0 2008.06.10 - eTrust-Vet 31.6.5862 2008.06.10 - Ewido 4.0 2008.06.10 - F-Prot 4.4.4.56 2008.06.10 - F-Secure 6.70.13260.0 2008.06.10 - Fortinet 3.14.0.0 2008.06.10 - GData 2.0.7306.1023 2008.06.10 - Ikarus T3.1.1.26.0 2008.06.10 - Kaspersky 7.0.0.125 2008.06.10 - McAfee 5314 2008.06.10 - Microsoft 1.3604 2008.06.10 Trojan:Win32/Skintrim.B NOD32v2 3173 2008.06.10 - Norman 5.80.02 2008.06.09 - Panda 9.0.0.4 2008.06.09 - Prevx1 V2 2008.06.10 - Rising 20.48.12.00 2008.06.10 - Sophos 4.30.0 2008.06.10 - Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.10 - TheHacker 6.2.92.341 2008.06.10 - VBA32 3.12.6.7 2008.06.10 - VirusBuster 4.3.26:9 2008.06.10 - Webwasher-Gateway 6.6.2 2008.06.10 - weitere Informationen File size: 307200 bytes MD5...: 603d9c90faa9b89a831e4629c9550e49 SHA1..: 0f756974db7b0d897ac5b3f09546d65d950b0ee2 SHA256: 7402e548082f92cb58f76feaaba4b7c74154fb920e8f346ca1f6cfb6b489ec3c SHA512: fb631c790e5f2d00262a928e4c3060d3fe54bbd1316c8ec3dd9131623dcd3604 55d8044cec6d21e31048c6a7fa75ceff649abdbe1a1581229dc638244d3fa230 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4011eb timedatestamp.....: 0x481b911f (Fri May 02 22:09:35 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x46bd8 0x47000 7.87 89c120761ba088421d2285c56d0a386b .rdata 0x48000 0xe02 0x1000 5.06 318c390eeffbe0477bf2e88ea8a246d4 .data 0x49000 0x1e1c 0x2000 3.42 fa389a657946e71e5d31cf6e96e2568b ( 10 imports ) > KERNEL32.dll: GetStringTypeExW, GetPrivateProfileSectionW, ScrollConsoleScreenBufferA, VirtualProtect, GetCPInfo, WriteConsoleOutputW, GetLocaleInfoW, GetTimeZoneInformation, CreateEventA, SetEnvironmentVariableA, GetACP, GetCurrentDirectoryW, GetEnvironmentStringsW, GetCommandLineW, VirtualAllocEx, GetShortPathNameW, CancelIo, IsBadReadPtr, SetCurrentDirectoryA, FileTimeToLocalFileTime, FindFirstFileExW, ExitProcess, GetCommState, ReadFileScatter, GetCurrentProcess, TryEnterCriticalSection, GetVersionExA, GetCommandLineA, SetTimeZoneInformation, GlobalGetAtomNameW, IsDBCSLeadByteEx, GetSystemInfo, EraseTape, GetVersion, RaiseException, DeleteCriticalSection, GetProcessHeap, SizeofResource, GetDiskFreeSpaceW, EnumTimeFormatsW, EnumSystemCodePagesW, lstrcmpiA, RemoveDirectoryW, GetBinaryTypeA, lstrcatW, SetCommMask, GetOverlappedResult, _lread, SetupComm, WritePrivateProfileSectionA, lstrlenA > USER32.dll: FillRect, EnumWindowStationsA, GetDlgItem, InsertMenuItemA, GetDC, CopyAcceleratorTableW, ScrollWindow, WindowFromPoint, GetTopWindow, SetWindowWord, ChangeMenuA, CreateCursor, GetClassInfoW, GetUserObjectInformationW, GetMessageTime, SendNotifyMessageW, CharLowerBuffA, AppendMenuW, SwitchDesktop, PostMessageW, LoadCursorFromFileW, RegisterHotKey, ArrangeIconicWindows, DialogBoxIndirectParamW, ShowWindow, DefDlgProcW, BroadcastSystemMessageA > GDI32.dll: SetBitmapDimensionEx, SetWindowExtEx, AddFontResourceW, EnumFontFamiliesA, GetTextCharacterExtra, GetLayout, OffsetRgn, GetOutlineTextMetricsA, PlayEnhMetaFileRecord, CopyEnhMetaFileA, GetBkColor, CreateSolidBrush, ExtSelectClipRgn, Escape, GetDIBits, Arc, CreateBitmap > ADVAPI32.dll: IsValidSecurityDescriptor > SHELL32.dll: DragFinish, SHGetPathFromIDListA, FindExecutableW > ole32.dll: ReadClassStg, ReadClassStm, CoGetInterfaceAndReleaseStream > OLEAUT32.dll: -, -, - > COMCTL32.dll: ImageList_Duplicate, ImageList_EndDrag > SHLWAPI.dll: HashData, PathFileExistsA, PathUndecorateW, PathRemoveFileSpecA, StrDupA, PathCombineW, PathFindExtensionA, SHGetValueW, StrCmpNA, PathAppendW > SETUPAPI.dll: SetupDefaultQueueCallbackA, SetupDiGetDeviceInfoListDetailA, SetupDiClassGuidsFromNameW ( 0 exports ) 3. Datei ygssaaqkky_nav Die Datei wurde bereits analysiert: MD5: e371154b3b1df847f3704332887a848d First received: - Datum 2008.06.10 14:45:26 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/ae1cdf19df0b94762ef42fcb323ee66a 4. ygssaaqkky_navps habe ich nicht mehr laufen lassen Und hier noch das Malwarebytes-Protokoll: Malwarebytes' Anti-Malware 1.16 Datenbank Version: 845 19:09:47 10.06.2008 mbam-log-6-10-2008 (19-09-47).txt Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 81068 Scan Dauer: 23 minute(s), 36 second(s) Infizierte Speicher Prozesse: 1 Infizierte Speicher Module: 1 Infizierte Registrierungsschlüssel: 14 Infizierte Registrierungswerte: 3 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 3 Infizierte Dateien: 20 Infizierte Speicher Prozesse: C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> Unloaded process successfully. Infizierte Speicher Module: C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> Unloaded module successfully. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{1e0de227-5ce4-4ea3-ab0c-8b03e1aa76bc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2763e333-b168-41a0-a112-d35f96f410c0} (Adware.MyWebSearch) -> Quarantined and deleted successfully. \SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\messengerskinner (Adware.EGDAccess) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-f3embed (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\messengerskinner (Adware.EGDAccess) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\MessengerSkinner (Adware.EGDAccess) -> Delete on reboot. C:\Programme\MessengerSkinner\download (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources (Adware.EGDAccess) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> Delete on reboot. C:\Programme\MessengerSkinner\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\download\defaultPack.cab (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\appconfig.xml (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btn.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnBnr.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnIn.rgn (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnInNormal.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnInOver.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnNormal.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnNormal.gif (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnNormalBnr.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnNormalBnr.gif (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnOver.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnOver.gif (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnOverBnr.bmp (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\btnOverBnr.gif (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\Programme\MessengerSkinner\resources\languages_v2.xml (Adware.EGDAccess) -> Quarantined and deleted successfully. C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully. Was kann ich noch tun? Da scheint etwas bescheiden zu sein. Danke im voraus für weitere Hilfe. Grüessli. hexlis |
Fehlt noch irgend etwas? Ich würde mich über weitere Hilfe freuen ! Hoffentlich läuft mein Compi morgen wieder an. Bin schon soo müde. LG. hexlis |
Poste bitte ein neues Hijackthis Logfile. |
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:30:12, on 10.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [uutta] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe uutta O4 - HKCU\..\Run: [cdtdbhdch] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe cdtdbhdch O4 - HKCU\..\Run: [ygssaaqkky] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe ygssaaqkky O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by136fd.bay136.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/.../GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8667 bytes |
Obwohl die von Celli um 20:01 aufgelisteten Dateien im HiJack-Logfile immer noch vorhanden sind, finde ich im Explorer und mit Virustotal nur die um 20:23 genannten Dateien. Zwei davon sind unauffindbar. Das wären .../uutta.exe und .../cdtdbhdch.ex LG. hexlis |
Guten Tag Da mein Compi immer noch das gleiche Problem hat und ich mit den erhaltenen Hilfe-Versuchen nicht weiter komme, sende ich heute noch einmal das aktuelle Protokoll von HiJackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:50:13, on 11.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\HiJackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://** R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [uutta] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe uutta O4 - HKCU\..\Run: [cdtdbhdch] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe cdtdbhdch O4 - HKCU\..\Run: [ygssaaqkky] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\ygssaaqkky.exe ygssaaqkky O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - [url]http://** O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - [url]http://** O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - [url]http://** O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - [url]http://** O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - [url]http://** O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - [url]http://** O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - [url]http://messenger** O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - [url]http://** O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://** O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - [url]http://m** O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8687 bytes Ich freue mich, wenn mir jemand weiter helfen könnte. LG. hexlis |
Hi, editier bitte die Links in deinem Log! http->*** Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig lg myrtille |
Hallo Myrtille Danke für die schnelle Antwort. Wenn ich auf navilog1 in deiner Meldung anklicke erhalte ich leider folgende Antwort: Page introuvable Vous venez d'être redirigé vers une page d'erreur. L'adresse URL que vous avez saisie ou le lien que vous avez cliqué sont erronés. Vous pouvez poursuivre votre navigation en lançant une nouvelle recherche: => wenn ich bei rchercher "navilog1" eingebe finde ich auch nichts, wo ich sicher wäre, dass es das ist, was du meinst. Grüessli. hexlis |
|
Super! Jetzt hats geklappt - mit folgendem Bericht: Search Navipromo version 3.5.8 began on 11.06.2008 at 13:30:41.79 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Anja" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Search done in normal mode MessengerSkinner Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** ...\MessengerSkinner found ! *** Search folders in "C:\Dokumente und Einstellungen\Anja\anwend~1" *** ...\MessengerSkinner found ! *** Search folders in "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Anja\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" * Files found : ygssaaqkky.exe found ! ygssaaqkky.dat found ! ygssaaqkky_nav.dat found ! ygssaaqkky_navps.dat found ! *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" : ygssaaqkky.dat found ! ygssaaqkky_nav.dat found ! ygssaaqkky_navps.dat found ! 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 11.06.2008 at 13:34:15.55 *** |
Hallo nochmals Myrtillle Was mir aufgefallen ist, ist dass überall nur C:\ untersucht wird. Ich habe aber in C:\ und D:\ Dateien gespeichert. Macht das was aus? Und noch eine zweite Frage. Gerade hat mein Compi automatische Windows-Sicherheitsupdates heruntergeladen und will neu starten um fertigzustellen. Wäre es ein ungünstiger Zeitpunkt oder macht das nichts aus, wenn ich neu starte? LG. hexlis |
Hi, lass Navilog bitte im Fixmode durchlaufen:
Erstelle danach ein neues Hijackthislog. Zitat:
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.). messengerskinner bitte nicht wieder installieren, der installiert dir diese Adware immer mit. lg myrtille |
Auch dies lief genau so einfach, wie du es mir beschrieben hast. Hier der Bericht: Navipromo Removal version 3.5.8 started on 11.06.2008 at 13:49:01.43 Fix running from C:\Programme\navilog1 Actual User Account : "Anja" Updated on 06.06.2008 at 18h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 7.0.5730.11 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * C:\WINDOWS\prefetch\ygssaaqkky*.pf found ! Copy C:\WINDOWS\prefetch\ygssaaqkky*.pf done ! C:\WINDOWS\prefetch\ygssaaqkky*.pf deleted ! * Deletion in "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" * ygssaaqkky.exe found ! Copy ygssaaqkky.exe done ! ygssaaqkky.exe deleted ! ygssaaqkky.dat found ! Copy ygssaaqkky.dat done ! ygssaaqkky.dat deleted ! ygssaaqkky_nav.dat found ! Copy ygssaaqkky_nav.dat done ! ygssaaqkky_nav.dat deleted ! ygssaaqkky_navps.dat found ! Copy ygssaaqkky_navps.dat done ! ygssaaqkky_navps.dat deleted ! *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** ...\MessengerSkinner ...deleting... ...\MessengerSkinner deleted ! *** Deleting folders in "C:\Dokumente und Einstellungen\Anja\anwend~1" *** ...\MessengerSkinner ...deleting... ...\MessengerSkinner deleted ! *** Deleting folders in "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\Anja\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\Anja\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\Anja\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate deleted ! Electronic-Group Certificate deleted ! OOO-Favorit Certificate deleted ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 11.06.2008 at 13:52:01.58 *** => Nun werde ich noch HiJackthis laufen lassen. => Die zwei von dir im Zitat erwähnten Dateien werde ich nochmals suchen. Aber gestern und vorhin waren sie NICHT zu finden.... Danke bis hierhin. Ich melde mich mit HiJack.. |
Nun das HiJackthis - Protokoll: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:00:51, on 11.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [uutta] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe uutta O4 - HKCU\..\Run: [cdtdbhdch] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe cdtdbhdch O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://** O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://** O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://** O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://** O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://** O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://** O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://** O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://** O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://** O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://** O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 8397 bytes |
Gab es denn von deinen Antivirenprogrammen in letzter Zeit Meldungen, dass sie Dateien gelöscht haben? Erstell zur Übersicht bitte ein Log mit DSS: DSS
Was sagen die Popups? Ist das besser geworden? lg myrtille |
Da bin ich schon wieder. Ich kann es mir echt nicht erklären, aber die Datei c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe UND c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe waren und sind UNAUFFINDBAR, einfach nicht vorhanden. Wenn ich den erwähnten Pfad folge sind lediglich 6 Unterordner und 5 Dateien vorhanden. eine ist eine Konfigurationsdatei DCBC22A71....., ein Textdokument, eine Datenbankdatei 'IconCache' und zwei DAT-Dateien. Es ist mir wirklich unerklärlich! Was nun? Grüessli. hexlis |
Gestern liess ich Malwarebytes laufen. Dies Programm hat 9 Fehler gefunden, die ich habe löschen lassen (oder in Quarantäne??? - weiss nicht). AntiVir PE brachte aber keine Meldungen. Nun werde ich DSS nach deiner Beschreibung laufen lassen. Bis gleich. hexlis |
ach ja.... und Werbefenster habe ich jetzt seit gut einer halben Stunde bis Stunde keine mehr gehabt. |
Auch die hat wieder super geklappt, dank deiner genialen Erklärungen! Main.txt : Deckard's System Scanner v20071014.68 Run by Anja on 2008-06-11 14:20:49 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 51: 2008-06-11 12:21:00 UTC - RP231 - Deckard's System Scanner Restore Point 50: 2008-06-11 11:05:29 UTC - RP230 - Software Distribution Service 3.0 49: 2008-06-08 13:03:29 UTC - RP229 - Systemprüfpunkt 48: 2008-06-06 13:54:56 UTC - RP228 - Systemprüfpunkt 47: 2008-06-04 10:22:33 UTC - RP227 - Software Distribution Service 3.0 -- First Restore Point -- 1: 2008-03-10 00:29:53 UTC - RP181 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. -- HijackThis Clone ------------------------------------------------------------ Emulating logfile of Trend Micro HijackThis v2.0.2 Scan saved at 2008-06-11 14:22:31 Platform: Windows XP Service Pack 3 (5.01.2600) MSIE: Internet Explorer (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\system32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\explorer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVComS.exe C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpWareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\dss.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [uutta] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe uutta O4 - HKCU\..\Run: [cdtdbhdch] c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe cdtdbhdch O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} () - http://download.mcafee.com/molbin/sh...1/mcinsctl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by136fd.bay136.hotmail.msn.co...s/MsnPUpld.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/.../GAME_UNO1.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab57213.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab56986.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\BTXPPanel.dll O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 9541 bytes -- File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%* .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%* .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - scrfile - shell\open\command - "%1" %* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; > S3 catchme - c:\dokume~1\anja\lokale~1\temp\catchme.sys (file missing) S3 MidiSyn - c:\windows\system32\drivers\midisyn.sys (file missing) S3 senfilt - c:\windows\system32\drivers\senfilt.sys (file missing) S3 TIACXLN (TI ACX100 WLAN Adapter) - c:\windows\system32\drivers\tiacxln.sys <Not Verified; Texas Instruments Incorporated; TI ACX100 WLAN Adapter> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation> S3 WLSetupSvc (Windows Live Setup Service) - "c:\programme\windows live\installer\wlsetupsvc.exe" <Not Verified; Microsoft Corporation; Windows Live installer> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Files created between 2008-05-11 and 2008-06-11 ----------------------------- 2008-06-11 14:20:26 686630 --a------ C:\dss.exe 2008-06-11 13:29:01 0 d-------- C:\Programme\Navilog1 2008-06-11 13:27:50 571449 --a------ C:\Navilog1.exe <Not Verified; @IL-MAFIOSO; > 2008-06-10 18:43:39 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-04 12:49:41 0 d-------- C:\WINDOWS\Prefetch 2008-06-04 12:41:25 0 d-------- C:\WINDOWS\l2schemas 2008-06-04 12:41:24 0 d-------- C:\WINDOWS\system32\de 2008-06-04 12:41:23 0 d-------- C:\WINDOWS\system32\bits 2008-06-04 12:37:04 0 d-------- C:\WINDOWS\ServicePackFiles 2008-05-27 22:57:51 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard -- Find3M Report --------------------------------------------------------------- 2008-06-11 13:54:13 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Skype 2008-06-11 12:43:39 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\skypePM 2008-06-10 18:43:44 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Malwarebytes 2008-06-04 12:52:43 395068 --a------ C:\WINDOWS\system32\perfh007.dat 2008-06-04 12:52:43 65000 --a------ C:\WINDOWS\system32\perfc007.dat 2008-06-04 12:42:00 0 d-------- C:\Programme\Messenger 2008-06-04 12:41:23 0 d-------- C:\Programme\Movie Maker 2008-06-04 12:36:36 0 d-------- C:\Programme\Windows NT 2008-06-03 14:26:35 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Adobe 2008-06-03 14:26:34 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\Macromedia 2008-05-27 23:12:03 0 d-------- C:\Programme\Lavasoft 2008-05-21 16:29:01 0 d-------- C:\Programme\Gemeinsame Dateien 2008-05-21 16:11:42 0 dr-h----- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\yahoo! 2008-05-21 16:10:51 0 d-------- C:\Programme\Yahoo! 2008-05-21 16:09:17 0 d-------- C:\Programme\OEXtract 2008-05-21 16:09:03 0 d-------- C:\Programme\Ahead 2008-05-21 15:57:02 0 d-------- C:\Programme\AVSMedia 2008-05-21 15:56:04 0 d--h----- C:\Programme\InstallShield Installation Information 2008-04-18 23:12:58 0 d-------- C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\BearShare 2008-03-14 22:26:53 60 --a------ C:\Dokumente und Einstellungen\Anja\Anwendungsdaten\AVSDVDPlayer.m3u -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AGRSMMSG"="AGRSMMSG.exe" [19.04.2005 11:03 C:\WINDOWS\AGRSMMSG.exe] "ATIModeChange"="Ati2mdxx.exe" [04.09.2001 16:24 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [20.01.2004 22:10] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [02.02.2005 20:12] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [02.02.2005 20:11] "LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [10.12.2002 18:54] "LogitechGalleryRepair"="C:\Programme\Logitech\ImageStudio\ISStart.exe" [10.12.2002 19:32] "LogitechImageStudioTray"="C:\Programme\Logitech\ImageStudio\LogiTray.exe" [10.12.2002 19:31] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [30.09.2003 01:14] "OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [21.03.2006 14:19] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [16.04.2008 11:36] "My Web Search Bar Search Scope Monitor"="C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" [] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 23:16] "Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [16.03.2007 12:45] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [18.10.2007 12:34] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 12:43] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [01.02.2008 18:22] "uutta"="c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\uutta.exe" [] "cdtdbhdch"="c:\dokumente und einstellungen\anja\lokale einstellungen\anwendungsdaten\cdtdbhdch.exe" [] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [02.06.2004 18:48:22] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] C:\WINDOWS\System32\dimsntfy.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] eapsvcs eaphost dot3svc dot3svc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs napagent hkmsvc -- Hosts ----------------------------------------------------------------------- 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 Command - Keeping Software Free 127.0.0.1 032439.com 7899 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-06-11 14:25:59 ------------ |
Und hier noch extra.txt: Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 3.0 Architecture: X86; Language: German CPU 0: Intel(R) Pentium(R) M processor 1600MHz Percentage of Memory in Use: 63% Physical Memory (total/avail): 511.36 MiB / 189.01 MiB Pagefile Memory (total/avail): 1245.91 MiB / 805.84 MiB Virtual Memory (total/avail): 2047.88 MiB / 1923.82 MiB C: is Fixed (NTFS) - 35.53 GiB total, 23.95 GiB free. D: is Fixed (NTFS) - 38.99 GiB total, 31.96 GiB free. E: is CDROM (No Media) F: is Removable (No Media) \\.\PHYSICALDRIVE0 - WDC WD800VE-07HDT0 - 74.53 GiB - 2 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 35.53 GiB - C: \PARTITION1 - Erweitert mit Int 13 (erweitert) - 38.99 GiB - D: \\.\PHYSICALDRIVE1 - Winbond Secure Digital Drive -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\Anja\Anwendungsdaten CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=FLORA ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\Anja LOGONSERVER=\\FLORA NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\ATI Technologies\ATI Control Panel PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 9 Stepping 5, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0905 ProgramFiles=C:\Programme PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\Anja\LOKALE~1\Temp TMP=C:\DOKUME~1\Anja\LOKALE~1\Temp USERDOMAIN=FLORA USERNAME=Anja USERPROFILE=C:\Dokumente und Einstellungen\Anja windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- Anja (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\WINDOWS\IsUninst.exe -fC:\WINDOWS\system32\UninstIPP.isu --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4269E12F-3405-48E9-83A5-A2BBAA23FDFA}\setup.exe" -l0x7 -removeonly --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Ad-Aware --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF} Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Adobe Shockwave Player --> C:\WINDOWS\system32\Adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log Adobe® Photoshop® Album Starter Edition 3.2 --> MsiExec.exe /I{A654A805-41D9-40C7-AA46-4AF04F044D61} Agere Systems AC'97 Modem --> agrsmdel ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE BearShare --> C:\Programme\BearShare Applications\BearShare\UninstallSurvey.exe C:\PROGRA~1\BEARSH~2\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~2\BEARSH~1\INSTALL.LOG Bluetooth by hp --> MsiExec.exe /X{90535871-81B9-4D99-8A13-A7EE97F2D7FE} Canon CanoScan Toolbox 5.0 --> "C:\Programme\Canon\CanoScan Toolbox Ver5.0\Maint.exe" /UninstallRemove C:\Programme\Canon\CanoScan Toolbox Ver5.0\uninst.ini CanoScan LiDE 70 --> "C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ2411\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ2411 /L0x0007 Color LaserJet 1600 --> C:\Programme\Zenographics\{3B9F1DE9-2B63-43C8-822E-B235AF9736A8}\Setup.exe -u "HPCLJKCInstaller.dll=CLJ1600.INF" HijackThis 2.0.2 --> "C:\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Logitech ImageStudio --> MsiExec.exe /I{5A24DD7E-7B01-41AC-ADA8-F1776177A3BA} Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{91110407-6000-11D3-8CFE-0150048383C9} Microsoft SQL Server 2005 Compact Edition [ENU] --> MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8} Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Navilog1 3.5.8 --> "C:\Programme\Navilog1\unins000.exe" Presto! PageManager 7.15.13 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{307B9D04-A1F4-48EA-809C-DF7FA9C4BB6D}\PMSetup.exe" -l0x7 anything -removeonly REALTEK Gigabit and Fast Ethernet NIC Driver --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{94FB906A-CF42-4128-A509-D353026A607E}\setup.exe" -l0x7 REMOVE ScanSoft OmniPage SE 4.0 --> MsiExec.exe /I{29D851C2-048C-4B5E-8D1F-25D473342BB5} Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A} Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376) --> "C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Skype™ 3.6 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82} Spelling Dictionaries Support For Adobe Reader 8 --> MsiExec.exe /I{AC76BA86-7AD7-5464-3428-800000000003} Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins001.exe" Spybot - Search & Destroy 1.5.2.20 --> "C:\WINDOWS\unins000.exe" Synaptics Pointing Device Driver --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall TwixTel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9C18E568-8E10-491E-896E-EEFB3FF1A39A}\setup.exe" -l0x7 -uninst Windows Imaging Component --> "C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe" Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986} Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6} Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220} Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" -- Application Event Log ------------------------------------------------------- Event Record #/Type6487 / Warning Event Submitted/Written: 06/11/2008 02:22:58 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.99C:\Navilog1.exe Event Record #/Type6486 / Warning Event Submitted/Written: 06/11/2008 02:21:53 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.99C:\Navilog1.exe Event Record #/Type6485 / Warning Event Submitted/Written: 06/11/2008 02:20:18 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.99C:\Navilog1.exe Event Record #/Type6484 / Warning Event Submitted/Written: 06/11/2008 02:06:14 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.99C:\Navilog1.exe Event Record #/Type6483 / Warning Event Submitted/Written: 06/11/2008 01:56:51 PM Event ID/Source: 4113 / Avira AntiVir Event Description: DR/Tool.Reboot.F.99C:\Navilog1.exe -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type15302 / Error Event Submitted/Written: 06/11/2008 01:51:30 PM Event ID/Source: 20106 / RemoteAccess Event Description: Die Schnittstelle "{E8B4943C-98A2-4E64-8B11-2EE29CD5F007}" kann nicht zu dem Router-Manager für das Protokoll IP hinzugefügt werden. Fehler: Die Funktion kann nicht abgeschlossen werden. Event Record #/Type15283 / Warning Event Submitted/Written: 06/11/2008 01:20:55 PM Event ID/Source: 4226 / Tcpip Event Description: TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde. Event Record #/Type15255 / Error Event Submitted/Written: 06/11/2008 00:43:41 PM Event ID/Source: 20106 / RemoteAccess Event Description: Die Schnittstelle "{E8B4943C-98A2-4E64-8B11-2EE29CD5F007}" kann nicht zu dem Router-Manager für das Protokoll IP hinzugefügt werden. Fehler: Die Funktion kann nicht abgeschlossen werden. Event Record #/Type15231 / Error Event Submitted/Written: 06/10/2008 07:12:56 PM Event ID/Source: 20106 / RemoteAccess Event Description: Die Schnittstelle "{E8B4943C-98A2-4E64-8B11-2EE29CD5F007}" kann nicht zu dem Router-Manager für das Protokoll IP hinzugefügt werden. Fehler: Die Funktion kann nicht abgeschlossen werden. Event Record #/Type15216 / Warning Event Submitted/Written: 06/10/2008 07:12:27 PM Event ID/Source: 1003 / Dhcp Event Description: Der Computer konnte die Netzwerkadresse, die durch den DHCP-Server für die Netzwerkkarte mit der Netzwerkadresse 000CF101E2D3 zugeteilt wurde, nicht erneuern. Der folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht, eine Adresse vom Netzwerkadressserver (DHCP) zu erhalten. -- End of Deckard's System Scanner: finished at 2008-06-11 14:25:59 ------------ |
Hi, das sieht gut aus. Es scheinen nur noch Überreste in der Registry übrig zu sein. Die Einträge können wir einfach mit Hijackthis fixen: Fixen
Die Dateien sind offenbar nicht mehr vorhanden, die Einträge im Hijackthislog verweisen ins Leere, deswegen konntest du sie auch nicht finden. (Das ist aus dem DSS Log ersichtlich, bei HJT kann man das nicht sehen) Wenn die Popups weiterhin ausbleiben, würde ich sagen wars das :D Und Finger weg von MessengerSkinner. Das ist böse ;) lg myrtille |
Ich habe noch die eine oder andre kurze Frage. Als ich die angegebenen Einträge im HiJack gesucht habe waren bei "09" zwei andere "no name" positionen gesehen (wie in "02"). Die habe ich, da von dir nicht angegeben einfach stehen lassen. Ist das so OK? AntiVir mag Navilog1 nicht. Kann ich das im C:\ löschen, wie auch die dazugehörigen Dateien? Ist es für mich gut, wenn ich HiJackThis und dss auf meinem Compi lasse? Ich kann kaum etwas daraus lesen... - ich Laie :-) Auf jeden Fall ganz lieben herzlichen Dank für deine Hilfe und Geduld !!!! Ich werde andere Bekannte vor Skinner warnen.... Ich hätte nie gedacht, dass MSN so etwas fieses anbietet! Danke - Danke - Danke - Danke - Danke - Du bist ein :heilig: |
Hi, du kannst alle Programme die wir benutzt haben über Start->Systemsteuerung->Software deinstallieren. (In diesem Fall Navilog, Hijackthis, Malwarebytes) DSS kannst du einfach so löschen. Wenn du die Programme weiterhin nutzen willst, kannst du sie natürlich auch drauflassen. :) Hijackthis und DSS würde ich, wie du schon sagst, runterwerfen. Malwarebytes behalten. Kannst ja gelegentlich einen Scan damit machen um sicherzugehen, dass dein Rechner sauber bleibt. Navilog bitte auf jedenfall Löschen. Wenn die Probleme wieder auftreten bitte die neue Version von Navilog herunterladen. Ein "einfaches Löschen" von Navilog hinterlässt Spuren des Programms in der Registry, die mitgelöscht werden, wenn du das Programm korrekt deinstallierst. Den Ordner Navilog musst du am Schluss noch händisch löschen, damit auch die Backups, in der die infizierten Dateien liegen gelöscht werden. Zitat:
Anders ist es zb bei Bearshare, dass dir MyWebSearch mitinstalliert.;) lg myrtille EDIT: @no name Relevant ist in diesem Fall nicht das "no name", das dir sagt, dass den Einträgen keine Namen zugewiesen wurden, sondern das "no file", das dir sagt, dass die Dateien auf die sich der Eintrag bezog nicht mehr existieren. |
Genial ! So werde ich es erledigen. Bei Malwarebytes dachte ich auch, dass ich es ggf. von Zeit zu Zeit laufen lassen werde. Danke für die guten Erklärungen ! Hoffentlich wird es nicht mehr nötig, dass ich mich wieder hier melde, obwohl so professionelle Hilfe wirklich toll war :aplaus: Wenn's so bleibt, wie bis jetzt, dann ist wirklich wieder alles ok :daumenhoc Ich kann meinen Dank und Glück gar nicht in Worte fassen Danke Myrtille - :heilig: Liebe Grüsse. hexlis |
Guten Abend Myrtille vielleicht hast du nochmals etwas Zeit für mich - ich hoff' es... hätte NIE gedacht, dass ich mich so schnell wieder melden muss Nun denn.... zum Thema ich hatte meinen Compi an, aber keine Site offen ausser Windows Life Messenger (als offline anzeigen), da ich bei Nachbarn und im Garten war. Als ich um etwa 22:00 rein kam und auf Bildschirm schaute, sah ich eine Meldung von Avira AntiVir, dass ein Trojaner gefunden wurde - noch einer oder ein neuer??? Ich hab ihn von AntiVir in Quarantäne verschieben lassen und dann Malwarebytes von euch checken lassen. Während dies lief kamen noch drei Meldungen von AntiVir; gefunden in: C:\System Volume Information\...\A0055578.exe und \A0066679.exe ausserdem noch C:\...\Navilog1[1].exe Weshalb dies auch noch??? - ich hatte es, wie von dir gesagt in "Start - Einstellungen - Systemsteuerung - Software - Navilog1 ENTFERNT - GELÖSCHT. Was mir jedoch merkwürdig vorkam war, dass es noch im Explorer unter C:\ drin war und dann hab ich es da auch noch "von Hand" gelöscht. Liegt da mein Fehler??? Ich werde mir nun nochmals HiJackthis holen und dann das Protokoll hierhin senden. Oder soll ich von vorn anfangen??? LG. hexlis |
Das wäre das aktuelle HiJackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:55:44, on 12.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url=http://** R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://** R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://** O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://** O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://** O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://** O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://** O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://** O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://** O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://** O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://** O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://** O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://** O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 7615 bytes |
Hi, deaktiviere bitte die Systemwiederherstellung (Start->Systemsteuerung->System->Start und Wiederherstellen->Systemwiederherstellung auf allen Laufwerken deaktivieren) und säubere dein System mit CCleaner nach der Anleitung. :) Sind alle Funde Navilog zuzuordnen? Wie lautet der genaue Fundort von Navilog[1].exe? lg myrtille |
Guten Abend Myrtille - schön, dass du tatsächlich antworten kannst! ich habe leider nicht mehr Info von AntiVir bekommen, als: C:\...\Navilog1[1].exe habe aber auch gesehen, dass es mir Unterordner namens "backups" und "Deckard" angelegt hat - was dies auch immer gemacht hat. Gerne folge ich nun deinen Anweisungen und melde mich wieder |
Hi, DSS=Deckard's SystemScanner. :D DSS löscht die temporären Dateien und erstellt ein Backup der Registry, das in dem Ordner Deckard ablegt. Den Ordner hatte ich ganz vergessen, der kann auch gelöscht werden, wenn bei dir alles rundläuft. Was die Navilog.exe angeht, vermute ich, dass der Pfad in etwa C:\Dokumente und Einstellungen\user\lokale einstellungen\temp\navilog1.exe sein dürfte. :D Kannst ja mal nachschauen ;) Imho wurde die Datei in einem temporären Ordner zwischengespeichert um ausgeführt zu werden. Das passiert zb mit allen Dateien die du mit dem IE abrufst, aber nicht explizit irgendwoanders speicherst. CCleaner leert diese Ordner, dadurch sollte der Fund (und jede Menge andere nicht mehr benötigte Dateien) verschwinden. lg myrtille |
Momentan geht hier gar nix vorallem kann ich bei C: nicht deaktivieren das mindeste ist 1% (200MB) ich verstehe nur noch Bahnhof :headbang: Und nun??? |
Wo steht was? Zitat:
lg myrtille EDIT: Achso :D Habs geblickt... Du willst den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen... der sollte etwas oberhalb von der Leiste zum Einstellen des Platzes für die SWH sein. |
ich habe eigentlich bis anhin nach Anweisung gemacht. und werde nun "einfach" CCleaner zu laden und laufen zu lassen Bis gleich - hoffe ich, wenn du noch Geduld für mich aufbringst LG. hexlis |
Au weiha ich Idiotin!!! nach deiner noch rechtzeitig eingegangenen Nachricht hab ichs auch ... gefunden.... Entschuldige B I T T E Nun hol ich mir mit gutem Gewissen den CCleaner |
Tu das :D Hast du mein Edit gesehen? Die SWH deaktivierst du mit einem Häkchen, nicht über den Schiebregler für die Größe. Geduld ist nicht das Problem. :blabla: Aber Schlaf bräucht ich demnächst dann ;) lg myrtille EDIT: Lass uns weiter über Kreuz posten, das stiftet noch mehr Verwirrung. :aplaus: ;) :aplaus: |
Klar Myrtille, auch du musst irgendwann schlafen dürfen !!!! G Ä H H N CCleaner läuft und meldet haufenweise Cookies, obwohl ich heute kaum wo drin war. Kann bzw. bringt es was, wenn ich dir die Funde hier rein kopiere??? |
Ich könnte dann wahrscheinlich recht gut nachvollziehen auf welchen Seiten du in letzter Zeit rumgesurft bist, aber ansonsten ist das nicht wirklich hilfreich. :blabla: Also im Klartext: Nein ich kann mit den Funden nicht viel anfangen ;) Lässt du die Cookies denn jedes Mal löschen, wenn du den Browser schließt? Ansonsten haben die sich wahrscheinlich über einen etwas längeren Zeitraum angesammelt als einen Tag. ;) lg myrtille |
Also Myrtille Falls erforderlich habe ich die Meldung von CCleaner mal als Textdatei gespeichert. Sollte ich nun die Systemwiederherstellung (C:\) wieder aktivieren? Ich tu es, wenn ich bis in 10 min. nichts mehr von dir höre. Dann werde ich noch versuchen, die Quarantäne von AntiVir komplett zu löschen. Ich wünsche dir die dir zustehende geruhsame Nachtruhe. Nochmals ganz herzlichen dank Myrtille - Engel Liebe Grüsse. hexlis |
Ja, die Systemwiederherstellung kannst du wieder reaktivieren. Wenn jetzt weiterhin Meldungen kommen sollten, müssten wir uns das ganze dann nochmal genauer ansehen. Aber das sollte es imho gewesen sein. :) Gute Nacht :) lg myrtille |
Glaube mir, ich habe insofern nichts zu verbergen! Ich gucke meine Mails an und spiele auf King.com (sat1.king.com). Oder suche mal in Google was über Pflanzen - ach ja - heute hab ich ja noch Informationen über eine Trauer-/Hänge-Weide gesucht!!!! - stimmt! - da fällts mir wieder ein.... so is das Leben... und mein Gedächtnis... Schlaf recht gut und danke nochmals für deine Hilfe! den CCleaner lass ich auch auf meinem Compi. LG und schöne Träume wünscht dir hexlis |
Zitat:
Zitat:
Zitat:
Ich werd dann mal schnell gehen, bevor ich noch mehr Blödsinn posten kann. :D Ich sag mal nicht "bis bald" oder "auf wiedersehen" sondern "leb wohl" ;) lg myrtille |
Ich sehe, dass du noch on bist... da mach ich doch noch einen Spass mit! Trauerweide nicht gefunden, ABER mit einer Baumschule telefoniert und die Weide, die mir meine Mutter schenkte direkt meiner Nachbarin mit Jahrgang meiner Mutter weiter-verschenkt - natürlich mit 'Einverständnis' meiner Mutter, die sagte: "wenn du sie nicht willst, dann schmeiss sie doch weg!" :snyper: Und übrigens: deine SIM-Karte hast du zum Test in dein altes Handy eingelegt und vergessen.... ;-) Und nun auf schweizerdeutsch: Pfuuus guet ! ond e gleitige Fyraabig Bye bye . hexlis |
Zitat:
Das Handy liegt nämlich auf der "richtigen" Seite des Röstigrabens und wird mich daher sobald nicht wieder sehen. :D Ich sag dann mal "bonne fin de soirée et bonne fin de semaine" :aplaus: und jetzt hör ich auf mit dem Spammen, ehrlich ;) lg myrtille, die Heiti (sagt google :D ) EDIT: So jetzt aber wirklich... :D Gute Nacht. :) *broswerfensterschließ* |
Du bist ja immer noch da... was hast du denn mit dem Röstigraben bzw. mit der "besseren" Seite zu tun? Ich dachte dass ihr in Deutschland seid..... Ich lebe an der Grenze vom Emmental und der Röstigraben IST in der Schweiz... Wie kommt deine Karte dorthin? LGrüessli. hexlis |
Ich bin überhaupt nicht hier, sondern schlafe scohn lange tief und fest und muss morgen auch nicht früh raus Nur um das mal klargestellt zu haben. ;) Ich hab Wurzeln in der französischsprachigen Schweiz auch wenn ich dort nicht mehr wohne. Und bei diesen Wurzeln hab ich auch zuletzt mein altes Handy liegen lassen. Und die einzig richtige Seite des Röstigrabens ist natürlich die westliche Seite. :blabla: |
Natürlich im Westen! Je peux écrire aussi un petit peut en français. Je m'ai habituer avec la langue à cause d'un belge/mix/france. - Et je sais aussi parler avec les gens sur King... :-)) Seulement mon anglais et spain est encore très mauvais. Bonne nuit madame! Je te souhaites des bon rêves ! A+ en réalité je ne veux pas mais.... qqn jour - on véra en français on dit 'bisous'. hexlis |
Also dann Myrtille es hat mich echt gefreut mir von dir helfen zu lassen. Ich wünsche dir alles Liebe und Gute und dass du deine SIM-Karte findest ;-) LG.hexlis |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:21 Uhr. |
Copyright ©2000-2025, Trojaner-Board