|
Kennt jemand ip503c06cb.speed.planet.nl Hallo, kennt jemand oben beschriebene (sieht aus wie eine Internetadresse) und was diese macht? Meine Firewall hat die Datei abgefangen und gesperrt. Sie kommt von der IP 80.60.6.203 und war an einen meiner Computer gerichtet. In diesem Zusammenhang hat meine Firewall auch das Programm intspyaudit1611_178540063[1].exe nach einer Freigabe verlangt. Ich habe das gesperrt und die Datei gelöscht. Gruß AL-ADIN |
Die IP gehört anscheinend zu diesen: http://www.buttnoise.nl/ Sagt Dir das was? Ist eine Host-Adresse. Siehe: http://stuwww.uvt.nl/cgi-bin/awstats...tput=lasthosts Zitat:
Kommt anscheinend zustande, wenn man einen Online-Scan hier macht: http://www.webroot.com/ |
Zitat:
|
Vielen Dank für die Infos und die schnelle Antwort. Ich kenne diese Seite nicht. Das Programm kenne ich auch nicht. Der VirenScan und escan hat auch nicht gemeckert. Ich habe da aber noch etwas anderes herausgefunden: Die Explorer.exe versucht auf die IP 239.255.255.250 zu zugreifen. Warum tut die das? |
Poste doch ein HijackThis-Log. Direktdownload Anleitung Dann kann man sehen, ob alles in Ordnung ist. |
Schau mal auf diese seite http://www.network-secure.de/index.p...696&Itemid=373 oder gib einfach mal unter google.de die IP: ein! :crazy: |
Nun denn, mein neuestes Log-File von HijackThis. Da ist nichts zu erkennen darauf, soweit ich das beurteilen kann. HijackThis hat kein Problem mit den beiden EXE-Dateien. |
Nanu, das Log-File von HijackThis hier im Nachtrag. Logfile of HijackThis v1.99.0 Scan saved at 23:30:05, on 25.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\APPLI\AVPersonal\AVGUARD.EXE C:\APPLI\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe C:\APPLI\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1 O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file) O18 - Filter hijack: text/xml - (no CLSID) - (no file) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe |
Die Einträge unter "018" kannst Du fixen. Da auch eScan anscheinend nichts findet, solltest Du recht sicher unterwegs sein. Schau Dir diese Programme vielleicht noch an (falls Du sie nicht schon kennst): http://dingens.org/ http://www.ntsvcfg.de/ und http://xpantispy.org/ Schalte unnötige Dienste von Windows ab. Die von Dir genannten IP`s dürften entweder die Deines ISP sein oder des DNS-Servers. |
Musst du aber nicht sind harmlos! habe nachgesehen! schaue dir die seiten von Feierfox an und nimm mal einen alternativen Browser (Mozilla, Firefox) Good Night _______________________________________________________ Take it easy!!!!!! :crazy: |
Zitat:
http://www.firefox-browser.de/windows.php Den IE nimm am besten nur noch für Updates! "Pflege ihn" (IE), aber benutze ihn nur in Notfällen! |
Liste der Anhänge anzeigen (Anzahl: 1) Nun dann erst mal Danke an Euch für die Hilfe. Wenn ich nicht doch noch etwas hätte.... die Explorer.exe, die in das Internet will. Ich habe die IP mal eingegeben und habe eine verwandte Seite (sie sieht jedenfalls genau so aus) des StartPage-Trojaners bekommen. Unter 239.255.255.250 bekomme ich dieses im ie angezeigt --> siehe Bild das ist denke ich nicht gut. Außerdem kommt es vor, daß sich bei mir unter den Eigenen Dateien ein Ordner mit dem Namen "backups" einnistet und sich immer wieder mit Einträgen füllt. Ich habe den Ordner schon oft gelöscht, aber er erscheint immer wieder. Genau so verhält es sich mit überresten von StartPage. Der wird auch jeden Tag gefunden, obwohl ich alle Temp-Ordner im abgesicherten Modus bereinigt habe und die Registry mit Registry Cleaner und Optimizer bearbeitet habe. Hier dazu mein Antivir-Log Auszug der betreffenden StartPage-Trojaner, wenn er jeden Tag auftaucht. Er läßt sich löschen und verursacht sonst nichts mehr (keine Einträge im HiJackThis) C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\APPLI\AVPersonal\INFECTED KLAKJH.DLL.VIR [FUND!] Ist das Trojanische Pferd TR/Startpage.215 WURDE GELÖSCHT! M[1].BIN.VIR [FUND!] Ist das Trojanische Pferd TR/Startpage.215 WURDE GELÖSCHT! Vielleicht sollte ich das nächste mal schreiben, was noch funktioniert.... und nicht immer mit einem neuen Problem kommen,:-) Gruß AL-ADIN |
Das ist so ein Problem, wenn man die Symptome per HijackThis beseitigt hat und die Ursachen eventuell noch nicht. Dann update mal Dein eScan, lass es offline im abgesicherten Modus laufen und poste hier: 1. die Zusammenfassung am Ende und 2. alles was "infected" und "tagged" enthält. Lösche auch mal den INFECTED-Ordner bzw. Quarantäne-Ordner des AV-Programms. Lade Die ClearProg runter und lass "alles löschen" (Button). http://www.clearprog.de/index.php Und deaktiviere den Nachrichtendienst per XP-Antispy oder unter Dienste. Lass auch mal CWShredder drüberlaufen. http://www.intermute.com/spysubtract..._download.html Alles mit deaktivierter Systemwiederherstellung (Wiederherstellungspunkte gehen dadurch verloren!), offline und im abgesicherten Modus. http://www.bsi.bund.de/av/texte/wiederher_xp.htm Dort kannst Du eventuell auch gleich versuchen den Ordner "backups" loszuwerden. |
Schau Dir auch mal diesen Thread an: http://www.trojaner-board.de/showthread.php?t=11807 Vielleicht bringt ja das letzte Posting was.... |
Liste der Anhänge anzeigen (Anzahl: 2) So, da bin ich wieder, habe die Anweisungen befolgt und mit Cleanprog und CWShredder im abgesicherten Modus gesäubert. Der Post von Trojan-Hunter http://www.trojaner-board.de/showthread.php?t=11807 bestätigt meine Vermutung, das wir bisher nur an den Symptomen gearbeitet haben, aber nicht an der Ursache. Im angegebenen KEY unter SearchAssisant\Unistall ist bei mir nichts eingetragen, wie von Trojan-Hunter angegeben. Es wa ein Changed ID und ein Spybot-Eintrag vorhanden. Diese habe ich jetzt gelöscht. Schon vor Tagen habe ich mit RegistryClean ein Programm namens UnInstall von der Registry gelöscht, weil ich es nicht kannte. Bis jetzt hat sich heute kein StartPage mehr gemeldet. :party: :aplaus: Der backups-Ordner ist nun auch geklärt. Ich Tödel habe HiJackThis in meine Eignen Dateien abgelegt, dadurch ist auch da backups-Verzeichnis dort entstanden. Falscher Alarm. Wie peinlich. :balla: Ob das schon alles war, bleibt noch abzuwarten. hier trotzdem meine letzten Ergebnisse vom 24.02.05 mit escan Ich habe nach Infected gesucht - hier die Ergebnisse: früherer SCAN: Wed Feb 16 00:27:23 2005 => Scanning File C:\APPLI\AVPersonal\INFECTED\M[1].BIN.VIR Thu Feb 24 19:58:03 2005 => Scanning Folder: C:\APPLI\AVPersonal\INFECTED\*.* Thu Feb 24 21:22:11 2005 => ***** Scanning complete. ***** Thu Feb 24 21:22:11 2005 => Total Files Scanned: 77286 Thu Feb 24 21:22:11 2005 => Total Virus(es) Found: 0 Thu Feb 24 21:22:11 2005 => Total Disinfected Files: 0 Thu Feb 24 21:22:11 2005 => Total Files Renamed: 0 Thu Feb 24 21:22:12 2005 => Total Deleted Files: 0 Thu Feb 24 21:22:12 2005 => Total Errors: 12 Thu Feb 24 21:22:12 2005 => Time Elapsed: 01:27:02 Thu Feb 24 21:22:12 2005 => Virus Database Date: 2005/02/24 Thu Feb 24 21:22:12 2005 => Virus Database Count: 119346 (UN??-)Glücklicherweise kein Virus gefunden. Was ist jetzt noch zu tun? Ich glaube abwarten. Ich melde mich, ob es geklappt hat oder nicht und würde mich freuen, wenn jemand noch eine Idee zu meiner Explorer.exe (siehe Doc - wenn man die Seite aufruft) Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner. Bis dahin Gruß AL-ADIN :cool: |
Zitat:
Zitat:
|
Also, die IP ist anscheinend der DNS, also von Hause aus ungefährlich. (sie gehört zu: IANA ) Blockiere doch mal den Zugriff der Explorer.exe per Firewall und warte ab, ob Du noch surfen kannst. Steige um auf z.B. Firefox, konfiguriere ihn sicher und Du hast Ruhe. Falls Du nicht, durch das Surfen auf unsicheren Seiten, alles zunichte machst. Lösche regelmäßig (am besten nach jedem Surfgang) mit ClearProg z.B. alle relevanten Daten (Temp, Cache, Papierkorb.....). Lösche auch den Java-Cache regelmäßig. Update regelmäßig Dein System, den IE und Deine AV-Software. Mache regelmäßige Scans mit den entsprechenden Programmen. Ach ja, installiere MBSA mal und checke, ob Dein System aus MS-Sicht sicher ist: MBSA (ist zwar ein Microsoft-Produkt, aber ausnahmsweise mal zu empfehlen) |
Danke für die weitere Hilfe Feierfox. Ich habe die Explorer.exe geblockt. Es funktioniert auch alles. Wie kommt man zu so einem DNS? Was wollen die von mir? Na ja. Ich habe MBSA ausgeführt. Ich brauche noch zwei Office-Updates, das war alles was er von mir wollte. Es gibt da jetzt auch noch eine Beta-Version Microsoft Anti-Spyware. Die habe ich mir auch noch besorgt. ES WIRD NICHTS GEFUNDEN, ABER DER STARTPAGE IST IMMER NOCH DA!!! Alle Programme melden alles ok. Das glaube ich auch soweit, da ich Kernteile des Startpage zerstört habe. Es muss jedoch noch irgendwo eine Einstellung sein, so dass Startpage überlebt. (Systemherstellung immer ist auch noch deaktiviert). :nixda: :koch: Wie kann man so eine Trojaner-Datei überleben lassen? Wer das rausfindet, der ist mindestens 1000 andere Leute ein Held. Gruß AL-ADIN Harald |
DNS "übersetzt" Domain-Namen in IP-Adressen, denn eigentlich sind im Internet ja nur diese die "richtigen" Adressen. Zur Vereinfachung wurden Domain-Namen (z.B. www.trojaner-board.de hat die Adresse 83.133.48.136) eingeführt, welche aber in IP`s "übersetzt" werden müssen. Gib doch mal folgende IP in das Adressfeld ein 66.102.11.99....ohne Zusätze. Siehe: DNS Zitat:
Ach, poste doch ein neues HijackThis-Log, zwecks letztem Check. |
Hallo und Danke für die bisherige Hilfe. Jetzt weiß ich wozu eine DNS gebraucht wird. Hilft nur nicht, warum ausgerechnet meine Explorer.exe auf irgendwelchen IP zugreifen will. Da ich die exe geblockt habe, sollte das nicht weiter stören. Hier mein aktueller LOG von HijackThis: Dieser ist soweit ich das inzwischen beurteilen kann sauber. Logfile of HijackThis v1.99.0 Scan saved at 14:59:22, on 27.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe C:\APPLI\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\APPLI\AVPersonal\AVGUARD.EXE C:\APPLI\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\notepad.exe C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1 O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file) O18 - Filter hijack: text/xml - (no CLSID) - (no file) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe Mit Startpage meinte ich immer wieder den Fund des TR\Startpage.215.A und noch in einem anderen Namen, den mein AntiVir immer regelmäßig nach einer regelmäßigen Stundenanzahl meldet. Hier noch mal mein neuestes AntiVir LOG in Auszügen: Mir machen diese NTUser.dat sorgen, ich bin mir nicht sicher, aber die vermehren sich, oder werde ich langsam hysterisch ?? :eek: Start des Suchlaufs: Sonntag, 27. Februar 2005 14:42 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\APPLI\AVPersonal\INFECTED M[1].BIN.VIR [FUND!] Ist das Trojanische Pferd TR/Startpage.215.A WURDE GELÖSCHT! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery DSOExploit.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt DSOExploit1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Harald NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\LocalService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService NTUSER.DAT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ntuser.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows UsrClass.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! UsrClass.dat.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SoftwareDistribution\EventCache {6636807F-D146-4F03-BA78-F153F37EBF31}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! {6DE7C6AF-A6F9-482D-BA93-91BE15AD4F30}.bin Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\SYSTEM32\CONFIG DEFAULT Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! DEFAULT.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SOFTWARE.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SYSTEM.LOG Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\Temp Perflib_Perfdata_3bc.dat Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! ZLT01173.TMP Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Ende des Suchlaufs: Sonntag, 27. Februar 2005 14:50 Benötigte Zeit: 08:05 min 1951 Verzeichnisse wurden durchsucht 54070 Dateien wurden geprüft 27 Warnungen wurden ausgegeben 1 Datei wurde gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Virus bzw. unerwünschtes Programm wurde gefunden |
Hallo, hast Du wirklich den INFECTED-Ordner Deines AV-Programmes gelöscht? Weil Dein AV-Programm ja in diesem Ordner den Schädling (M[1].BIN.VIR) findet. Die Einträge unter 018 solltest Du mit HijackThis fixen oder entstehen diese immer wieder neu? Bei den Einträgen in HKEY_USERS und nicht NTUser.dat(.log) müsste man wissen, was sich dort ändert. Aber es ist normal, dass sich dort immer mal wieder was verändert. Dort werden u.a. ja alle Sachen gespeichert, welche sich bezüglich des Users ändern (Programmeinstellungen usw.). Dort sehe ich - ohne konkrete Anhaltspunkte auf einen Schädling - keine Probleme. Zitat:
|
Zitat:
Und Zitat:
|
Liste der Anhänge anzeigen (Anzahl: 1) Hallo Feierfox, ich habe auch schon den kompletten Infecetd-Ordner gelöscht. Das bringt auch nichts. Der Startpage im Infected-Ordner habe ich dahin geschoben, um Ihn von dort aus zu löschen. Wenn ich StartPage gelöscht habe taucht er gewöhnlich im Temporären Internetverzeichnis auf. Das habe ich auch schon mehrmals gelöscht (auch im abgesicherten Modus). Der TR\StartPage.215 kommt immer wieder in regelmäßigen abständen. Für mich bedeutet das, daß Startpage einen Count macht (Zeit oder Anzahl der Verbindungsversuche) und das der Schädling noc irgendwo im System (z.B. Registry steckt). Der Thread von Trojan-Hunter geht mir nicht aus dem Kopf. Das ist ein Ansatz, nur wo nachschauen und welcher Eintrag, ist wie üblich das Problem. Die 018-Einträge kommen immer wieder, wenn ich HiJackThis aufrufe. Das mit der Userclass.dat und ntuser.dat.LOG ist einfach merkwürdig. Ich weiß auch nicht ob da ein Zusammenhang zu den HKEY_User besteht. Ich bin der Meinung das sind mehr Einträge geworden. Komisch ist auch das sich die Nummern dieser HKEY_USER Einträge so merkwürdig hochzählen. Ich hänge nochmals das Bild mit den Registry an. Vielleicht fällt ja doch noch jemand etwas dazu ein. Gruß Harald |
Also, die HKEY_USERS ist unverändert bezüglich der folgenden Nummern nach S-1-5-21 (siehe Dein Posting im anderen Thread). Auf diese: Zitat:
Bezügl. Posting von Trojan_Hunter: Wo hast Du genau danach gesucht und hast Du z.B. nach "regsvr32" die gesamte Registry (Feld markieren) durchsucht? Denn nach Uninstall kommt ja noch die "lange Nummer". Also auf "Suchen" (in der Registry) gehen -> "regsvr32" eingeben und komplette Registrierung durchsuchen lassen. Fixe wieder die 018-Einträge im abgesicherten Modus. Hast Du auch die Möglichkeit ausgeschlossen, dass im Autostart ein Prozess gestartet wird, der eventuell ungewollt ist? Zu checken z.B. mit: StartupList oder: http://www.niksoft.at/download/startdreck.htm |
Noch etwas, sobald wieder die Meldung erscheint, dass die StartPage... gefunden wurde, lass HijackThis laufen (ohne, dass Du die Datei löschen lässt vom AV-Programm) und poste das Log. Da kann man dann ggf. sehen, ob ein neuer Prozess dazu kam. |
Ich habe nochmal nach regsvr32 gesucht: Hier alle Einträge dazu: "C:\WINDOWS\system32\REGSVR32.EXE" /i:"%1" "C:\WINDOWS\system32\scrobj.dll" %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll regsvr32.exe /s /n /i:U shell32.dll C:\WINDOWS\system32\REGSVR32.EXE Natürlich waren die Einträge auch mehrmal in der Registry vorhanden, aber immer nur diese. Gibt es eine Unterschied in der Schreibweise zwischen SHELL.dll und shell.dll für Windows? Gruß AL-ADIN |
Liste der Anhänge anzeigen (Anzahl: 1) Hmm, also in der Registry nicht in Verbindung mit UninstallString? Was unter C:\ gefunden wurde, ist nicht ganz so entscheidend. Bei mir z.B. findet er dieses unter diesem Pfad: |
Liste der Anhänge anzeigen (Anzahl: 1) Ich habe danach durchsuchen lassen. Leider nichts bei mir. Ich besitzte eine Testversion von den Advanced Admin. Tools mit Registry-Cleaner. Den habe ich heute mal laufen lassen: Da finde ich bei einem SCAN folgenden Einträge bei Uninstall unter heutigem Datum: (siehe Bild - Markierung) Bei UninstallString bei einigen Programmen finde ich immer den gleichen Eintrag, während andere Programme (HiJackThis, Microsoft-Programme,...) "normale" Einträge stehen. Das muss zwar nichts heissen, aber ein neuer Ansatzpunkt. Mir fällt auch auf, daß die "RunDll32" geschrieben wurde. Ist das normal? Gruß AL-ADIN |
Liste der Anhänge anzeigen (Anzahl: 1) Also die Schreibweise ist egal, man muss nur aufpassen, dass nicht z.B. das l durch ein I "ersetzt" wurde. Sieht ja ähnlich aus...RunDII32...oder EXPL0RER.EXE...statt O eine 0. Zu Deinem Anhang: Die Datei ctor.dll könnte die Ursache für Deine Probleme sein! :snyper: Versuch mal hiermit Dein System von der Hotbar (oder deren Reste) zu befreien: http://hotbar.com/downloads/HbUninst.exe oder: http://www.iamnotageek.com/a/217-p2.php Auch hiermit kann man BHO`s überprüfen und ggf. löschen: BHO Demon Lösch aber nicht "wahllos" in der Registry oder auf C:\ die ctor.dll, denn normalerweise ist die Datei eine Windows-Datei. Such sie auch in C:\Windows und in C:\Windows\System32 und schau Dir die Eigenschaften an, ob es sich wirklich um eine Microsoft-Datei handelt! Denn in diesen Ordnern hat sie nichts zu suchen. Damit Du mir glaubst, schau mal hier: http://www.wintotal.de/Spyware/index.php?Filter=C |
Hallo Feierfox und wer noch so liest, Alle Programme ausprobiert, jedoch mit dem StartPage komme ich nicht weiter. Die ctor.dll scheinen alle normal zu sein. Es muß noch an etwas anderem liegen. Fällt jemanden noch etwas ein, wo es sich versteckt? Gruß AL-ADIN |
Du könntest ja diesen mal installieren: http://www.sysinternals.com/ntw2k/fr.../procexp.shtml und die in Frage kommenden Prozesse (z.B. svchost...) einzeln durchgehen (sobald die Meldung wieder erscheint) und schauen bei welchem etwas derartiges aufgerufen/ausgeführt wird. Dort könntest Du es zumindest lokalisieren und dann ggf. im System löschen. Was ist sus dem HijackThis-Log geworden, welches beim Auftreten der Startpage-Meldung gemacht werden sollte? |
Hallo Feierfox, hier das neueste Log-File von HijackThis, nachdem ich StartPage gelöscht habe. Die normalerweise vorhandenen Dateien, die StartPage erzeugt sind nicht darin vorhanden. Es sieht wie immer gut aus. Gruß AL-ADIN Logfile of HijackThis v1.99.0 Scan saved at 00:16:01, on 02.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe C:\APPLI\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\APPLI\AVPersonal\AVGUARD.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\APPLI\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1 O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file) O18 - Filter hijack: text/xml - (no CLSID) - (no file) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe |
Zitat:
Meine Idee (ohne Garantie auf Erfolg) 1. Meldung erscheint 2. sof. HijackThis laufen lassen 3. eScan laufen lassen 4. dann erst Datei löschen Log-Dateien posten (HjT + eScan "infected") |
Hallo Feierfox, so Scan mit HijackThis und escan ist gelaufen. Viel hat es auf den ersten Blick nicht gebracht. Vieleicht schildere ich es kurz bevor ich die Logs bringe. HiJackThis hat das für mich schon übliche Log erstellt, ohne das ich da jetzt noch etwas schädliches sehen kann. Vielleicht findest Du mehr raus? escan habe ich upgedated und laufen lassen. An der Stelle, wo die Startpage-Plagegeister stehen (LokaleEinstellungen/Internet Temporary Files) ist nur der Vierenscanner wieder angesprungen, sobald escan dort zu lesen begonnen hat. Ein INFECTED wurde nicht gemeldet. Dafür 12 Errors. Hier nun die Logs: Logfile of HijackThis v1.99.0 Scan saved at 21:26:15, on 02.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Saitek\Software\SaiSmart.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe C:\APPLI\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\APPLI\AVPersonal\AVGUARD.EXE C:\APPLI\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\APPLI\AVPersonal\GUARDGUI.EXE C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1 O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file) O18 - Filter hijack: text/xml - (no CLSID) - (no file) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe Wed Mar 02 21:28:05 2005 => ********************************************************** Wed Mar 02 21:28:05 2005 => eScan AntiVirus Toolkit Utility. Wed Mar 02 21:28:05 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc. Wed Mar 02 21:28:05 2005 => ********************************************************** Wed Mar 02 21:28:05 2005 => Version 4.8.8 (C:\bases\mwavscan.com) Wed Mar 02 21:28:05 2005 => Log File: C:\bases\MWAV.LOG Wed Mar 02 21:28:05 2005 => Last Scan Date and Time: 24.02.2005 19:55:08 Wed Mar 02 21:28:07 2005 => Latest Date of files inside MWAV: 24 Feb 2005 20:32:31. Wed Mar 02 21:28:08 2005 => AV Library Loaded... Wed Mar 02 21:28:08 2005 => Scanning File C:\bases\kavss.exe Wed Mar 02 21:28:08 2005 => Scanning File C:\bases\Getvlist.exe Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavss.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavssdi.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavssi.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\kavvlg.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\msvlclnt.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\ipc.dll Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\main.avi Wed Mar 02 21:28:09 2005 => Scanning File C:\bases\virus.avi Wed Mar 02 21:28:09 2005 => Virus Database Date: 2005/02/24 Wed Mar 02 21:28:09 2005 => Virus Database Count: 119346 Wed Mar 02 21:28:29 2005 => Generating Virus List... getvlist.exe C:\bases\vlist.txt Wed Mar 02 21:30:24 2005 => AV Library Unloaded (3)... Wed Mar 02 22:57:13 2005 => ***** Scanning complete. ***** Wed Mar 02 22:57:13 2005 => Total Files Scanned: 75660 Wed Mar 02 22:57:13 2005 => Total Virus(es) Found: 0 Wed Mar 02 22:57:13 2005 => Total Disinfected Files: 0 Wed Mar 02 22:57:13 2005 => Total Files Renamed: 0 Wed Mar 02 22:57:13 2005 => Total Deleted Files: 0 Wed Mar 02 22:57:13 2005 => Total Errors: 12 Wed Mar 02 22:57:13 2005 => Time Elapsed: 01:23:17 Wed Mar 02 22:57:13 2005 => Virus Database Date: 2005/03/02 Wed Mar 02 22:57:13 2005 => Virus Database Count: 120028 Wed Mar 02 22:57:13 2005 => Scan Completed. In einem dieser Ordner steht der StartPage. Man kann löschen wie man will, erschreibt sich immer wieder da hinein. Wed Mar 02 21:36:05 2005 => Scanning C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5 Directory Wed Mar 02 21:36:05 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\*.* Wed Mar 02 21:36:05 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\2XGBC7WR\*.* Wed Mar 02 21:36:25 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\MN6P23SZ\*.* Wed Mar 02 21:36:31 2005 => Scanning Folder: C:\DOKUME~1\Harald\LOKALE~1\TEMPOR~1\Content.IE5\OPQFAZI7\*.* Gruß AL-ADIN |
Tja, bin mit meinem Latein am Ende.... Wenn Du nicht neu aufsetzen willst, empfehle ich (am besten gleich nach dem Systemstart oder besser beim Beenden des IE) das Löschen des Cache. Kann man auch bei "Internetoptionen" automatisch löschen lassen. Das obligatorische Leeren des INFECTED-Ordners und das Fixen der 018-Einträge. Kennst Du ja alles schon und kannst es sicher nicht mehr hören.... Sorry |
Hallo Feierfox und Leser, nach nun mehr sechs oder acht Wochen, genau weiß ich das schon gar nicht mehr, habe ich mich entschlossen, mein System neu zu installieren. Ehrlich gesagt, bin ich schon etwas demotiviert. :heulen: Da ich aber positiv denkend eingestellt bin, nehme ich wenigstens eine große Zahl neu gewonnener Kenntnisse über das Windows-System ansich mit. Die Erfahrung war es mir wert. In diesem Sinne an alle Leidensgenossen Gruß AL-ADIN P.S. Format C: for ever!! :heilig: P.S.S. Ich bleibe dem Forum trotzdem treu, um meine Kenntnisse zu erweitern. :sleepy: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board