|
Riesenproblem... Wenn ich Windows starte kommt neuerdings ein Fenster: "Gemeinsame Nutzung...windows/explorer.exe versucht Internetzugriff zu ändern..." AntiVir Guard meldet, dass etliche Trojaner drauf sind. Lösch sie dann jeweils, aber nach jedem Neustart sind sie wieder da... auch wenn ich sie im abgesicherten Modus lösche (inkl. allen Temp. files) kommen sie immer wieder :koch: Scanne dann jeweils mit E-Scan und lösche dann die gefundenen Dateien (7) aber die kommen sind dann immer noch da wenn ich ind en normalen Modus wechsle... hab anbei noch die Logs vom HiJacker und AntiVir... Wie bring ich die Dinger weg? (Verstehe von PC's echt nicht allzuviel :( Logfile of HijackThis v1.99.0 Scan saved at 19:34:13, on 12.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\PurgeIE\PurgeIE_Service.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Compaq\EAB\EabServr.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\notepad.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/w/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/w/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/r...search&ap=b204 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/w/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/w/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php O1 - Hosts: 209.66.114.130 sitefinder.verisign.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: winupdate62863990[1].exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab O21 - SSODL: MSSQLMonitor - {20570DCA-442B-4055-9353-0E665A913CD9} - C:\WINDOWS\System32\iuendycl.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe AntiVir Log: 12.01.2005,17:24:29 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.5 VDF Version: 6.29.0.59 12.01.2005,17:24:29 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 12.01.2005,17:24:33 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE 12.01.2005,17:24:58 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\WINDOWS\D.EXE 12.01.2005,17:25:25 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE 12.01.2005,17:25:26 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\WINDOWS\D.EXE 12.01.2005,17:25:20 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Inapsol.1! C:\DOKUME~1\DAVEFR~1\LOKALE~1\TEMP\TMP5.TMP 12.01.2005,17:34:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\DOKUME~1\DAVEFR~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\8H0XYB8T\D[1].EXE 12.01.2005,17:49:31 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.OC! C:\DOKUMENTE UND EINSTELLUNGEN\DAVE FREI\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\8H0XYB8T\D[1].EXE 12.01.2005,18:11:04 [INFO] Stop Filter Device. 12.01.2005,18:11:06 [EXIT] Der AVGuard Dienst wurde beendet! |
ich sehe da den Troj/Tofger-AW drauf. also führe das aus: 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit hijackthis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.searchv.com/w/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchv.com/w/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/...=search&ap=b204 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchv.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchv.com/w/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchv.com/w/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/w/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php O1 - Hosts: 209.66.114.130 sitefinder.verisign.com O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - Startup: winupdate62863990[1].exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab O21 - SSODL: MSSQLMonitor - {20570DCA-442B-4055-9353-0E665A913CD9} - C:\WINDOWS\System32\iuendycl.dll 3.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log |
schonmal vielen dank!! Also du meinst ich soll 1. im abgesicherten Modus mit eschan suchen? 2. was meinst du mit löschen bzw. fixen mit den von dir aufgelisteten Einträgen?? |
ähm fixen heißt reinigen. damit meine ich, vor die einträge die ich genannt habe in hijackthis einen haken zu machen und dann auf fix it zu klicken. und jep das hast du richtig verstanden. escan im abgesicherten modus suchen lassen und bis zu 3.ergebnis findet alles im abgesicherten modus statt. |
|
Ah Ok... werds mal ausprobieren! Sollte ich noch die Systemwiederherstellung deaktivieren bevor ich in den abgesicherten Mod gehe?? Bis später... |
nicht zwingend notwendig. das geht auch ohne deaktivierung der systemwiederherstellung. |
So das wären die Einträge aus mwav.log: Wed Jan 12 20:24:40 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. Wed Jan 12 20:24:24 2005 => File C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\tmp5.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. Wed Jan 12 20:24:24 2005 => File C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\tmp3.tmp infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken. Wed Jan 12 20:21:10 2005 => File C:\WINDOWS\dltime.dll infected by "Trojan-Spy.Win32.KeyLogger.cf" Virus. Action Taken: No Action Taken. Wed Jan 12 20:20:51 2005 => File C:\WINDOWS\svchost.exe infected by "Trojan-Downloader.Win32.Small.acd" Virus. Action Taken: No Action Taken. und das wäre das Log aus HiJacker: Logfile of HijackThis v1.99.0 Scan saved at 20:49:23, on 12.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\PurgeIE\PurgeIE_Service.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Compaq\EAB\EabServr.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Dokumente und Einstellungen\Dave Frei\Startmenü\Programme\Autostart\winupdate62863990[1].exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\svchost.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: winupdate62863990[1].exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe |
oh.. ein trojaner-keylogger.. es verlangt zwar nicht neuzuinstallieren aber der keylogger sollte so schnell wie möglich gelöscht werden. -also lade dir mal clearprog runter -installiere es -gehe in den abgesicherten modus -öffne das programm, mach einen haken bei alles löschen hin -klicke auf löschen dann geh noch in den ordner c:\windows und lösche dort dltime.dll und svchost.exe. anschließend gehe noch in den ordner c:\dokumente und einstellungen\dave Frei\Startmenü\Autostart und lösche dort die datei winupdate628639 90[1].exe falls die dateien nicht angezeigt werden: -klick auf extras, dann auf ordneroptionen -klick auf ansicht -geschützte systemdateien ausblenden haken weg -inhalte von systemdateien anzeigen haken hin -alle dateien und ordner anzeigen selektieren fixe auchnoch diese restlichen einträge: O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - Startup: winupdate62863990[1].exe starte in den normalen modus. poste aber zur sicherheit nochmal einen hijackthis log. |
Bin schon dabei... Wäre froh wenn du noch ein bisschen online sein könntest, stelle das Log von Hijack nacheher gleich ins Forum! Vielen Dank!!!! |
jep bin noch n bissal on. |
So, das wär das LOG! Aber der Eintrag 04 - Startuzp: winupdate628....exe war im hijack nicht mehr vorhanden! Konnte nur den ersteren fixen... Logfile of HijackThis v1.99.0 Scan saved at 21:10:24, on 12.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\DAVEFR~1\LOKALE~1\Temp\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rwi.unizh.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06baae22...dxIE601_de.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton Internet Security Service - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE O23 - Service: Norton Internet Security Accounts Manager - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: PurgeIE XP Service - Assistance & Resources for Computing, Inc. - C:\Programme\PurgeIE\PurgeIE_Service.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe |
schön. das log ist sauber. da fällt mir nurnoch dass ein: -benutze einen anderen browser wie firefox oder opera -lade dir das Windows XP Service Pack 2 runter und installiere es |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board