|
Trojaner TR/Zlob.IT.3 Hallo, ich habe folgenden Trojaner auf meinem Rechner und bekomme nun ständig Security Alerts, werde mit der Online SpyWare Bekämpfungsseite www.bestsecurity.com verbunden und ständig kommen Alert Pop-Ups zum Vorschein. Kann mir jemand von euch helfen?? :heulen: :heulen: Gruß |
Hallo, arbeite mal folgendes ab: 1.) Poste ein hijackThis Log 2.) Lösche deine Temp Dateien mit Cleanup! und poste die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren! 3.) Besorge dir Smitrem, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), führe die runthis.bat aus und poste danach den Inhalt der C:\smitfiles.txt. Grüße Wildone |
Hier erstmal mein Logfile for dem Cleaning: Logfile of HijackThis v1.99.0 Scan saved at 14:07:33, on 08.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\QuickTime\qttask.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\E-Color\Common\IconMgr.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\PROGRA~1\CleanUp!\cleanup.exe C:\Dokumente und Einstellungen\sisko\Desktop\HijackThis.exe Die Datfind.bat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\WINDOWS\system32 08.04.2006 14:17 5.032 ncompat.tlb 08.04.2006 11:34 8.704 interf.tlb 08.04.2006 11:34 56.320 hp63AB.tmp 08.04.2006 11:34 48.653 ld631F.tmp 08.04.2006 11:34 2.206 wpa.dbl 08.04.2006 09:42 17.796 nvctrl.exe 08.04.2006 09:42 4.286 ot.ico 08.04.2006 09:42 4.286 ts.ico 08.04.2006 09:42 10.384 mssearchnet.exe 08.04.2006 09:40 16.125 dfrgsrv.exe |
Hallo, bitte das vollständige Logfile posten! Edit Zitat:
|
smitRem © log file version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] Running from C:\Programme\Downloads\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32] @="C:\WINDOWS\system32\stickrep.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ Security Toolbar ~~~ Shortcuts ~~~ Online Security Guide.url Security Troubleshooting.url ~~~ Favorites ~~~ Antivirus Test Online.url ~~~ system32 folder ~~~ 1024 dir ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe hp***.tmp logfiles ~~~ Icons in System32 ~~~ ts.ico ot.ico ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1548 'explorer.exe' Killing PID 1548 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}"="USB Ware" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{E2CA7CD1-1AD9-F1C4-3D2A-DC1A33E7AF9D}\InProcServer32] @="C:\WINDOWS\system32\stickrep.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ld****.tmp mssearchnet.exe ncompat.tlb nvctrl.exe ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! :) |
Logfile of HijackThis v1.99.0 Scan saved at 14:36:42, on 08.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\QuickTime\qttask.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\E-Color\Common\IconMgr.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\WINDOWS\notepad.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\sisko\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O2 - BHO: (no name) - {7a932ed2-1737-4ab8-b84d-c71779958551} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/u...bertragung.cab O23 - Service: AntiVir Scheduler - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\DOKUME~1\sisko\LOKALE~1\Temp 08.04.2006 14:30 16.384 ~DF36C5.tmp 08.04.2006 14:30 16.384 Perflib_Perfdata_718.dat 08.04.2006 14:30 32.768 ~DFCD80.tmp 08.04.2006 14:30 32.768 ~DF804C.tmp 08.04.2006 14:24 6.026 hpodvd09.log 5 Datei(en) 104.330 Bytes 0 Verzeichnis(se), 60.313.563.136 Bytes frei |
Hallo, das sind jetzt zwei Logs der Datfind.bat, heißt das noch zwei fehlen. Und bitte die Dateien des letzten Monats abkopieren! Also, poste das Logfile des System32 Ordners nochmal. Grüße Wildone |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\WINDOWS\system32 08.04.2006 14:37 5.032 ncompat.tlb 08.04.2006 14:33 8.192 interf.tlb 08.04.2006 14:31 17.744 nvctrl.exe 08.04.2006 14:31 10.332 mssearchnet.exe 08.04.2006 14:30 48.653 ld5C58.tmp 08.04.2006 11:34 2.206 wpa.dbl 08.04.2006 09:40 16.125 dfrgsrv.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\WINDOWS\system32 08.04.2006 14:56 5.032 ncompat.tlb 08.04.2006 14:43 8.192 interf.tlb 08.04.2006 14:43 52.224 hp9182.tmp 08.04.2006 14:43 48.653 ld9133.tmp 08.04.2006 14:31 17.744 nvctrl.exe 08.04.2006 14:31 10.332 mssearchnet.exe 08.04.2006 11:34 2.206 wpa.dbl 08.04.2006 09:40 16.125 dfrgsrv.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\DOKUME~1\sisko\LOKALE~1\Temp 08.04.2006 14:53 412 jusched.log 08.04.2006 14:44 16.384 ~DF4016.tmp 08.04.2006 14:44 1.430 MAR1.tmp 08.04.2006 14:43 16.384 Perflib_Perfdata_754.dat 08.04.2006 14:43 32.768 ~DFB01A.tmp 08.04.2006 14:43 32.768 ~DF9CDA.tmp 08.04.2006 14:41 6.026 hpodvd09.log 08.04.2006 14:30 32.768 ~DFCD80.tmp 08.04.2006 14:30 32.768 ~DF804C.tmp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\WINDOWS 08.04.2006 14:44 0 0.log 08.04.2006 14:44 159 wiadebug.log 08.04.2006 14:44 50 wiaservc.log 08.04.2006 14:44 1.772.119 WindowsUpdate.log 08.04.2006 14:43 2.048 bootstat.dat 08.04.2006 14:41 32.622 SchedLgU.Txt 08.04.2006 14:32 211.082 setupact.log 08.04.2006 14:28 28.516 setupapi.log 03.04.2006 19:58 1.125 winamp.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\ 08.04.2006 14:58 0 sys.txt 08.04.2006 14:57 13.691 system.txt 08.04.2006 14:57 695 systemtemp.txt 08.04.2006 14:57 151.673 system32.txt 08.04.2006 14:43 805.306.368 pagefile.sys 08.04.2006 14:32 3.777 smitfiles.txt Ich hoffe, ich habe nun alles gepostet! |
Hallo, jain, hast du keine älteren Dateien im System32 Ordner als von heute? Oder hast du dein Systemheute morgen neu aufgesetzt? Grüße Wildone |
ach so, ich dachte ich solle nur diesen Monat posten. Ich poste jetzt nochmal die ganzen Dinge durch. Kann aber nen Moment dauern... |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 944C-9818 Verzeichnis von C:\WINDOWS\system32 08.04.2006 15:06 5.032 ncompat.tlb 08.04.2006 14:43 8.192 interf.tlb 08.04.2006 14:43 52.224 hp9182.tmp 08.04.2006 14:43 48.653 ld9133.tmp 08.04.2006 14:31 17.744 nvctrl.exe 08.04.2006 14:31 10.332 mssearchnet.exe 08.04.2006 11:34 2.206 wpa.dbl 08.04.2006 09:40 16.125 dfrgsrv.exe 27.03.2006 17:07 383.254 perfh009.dat 27.03.2006 17:07 53.608 perfc009.dat 27.03.2006 17:07 394.500 perfh007.dat 27.03.2006 17:07 64.598 perfc007.dat 27.03.2006 17:07 906.552 PerfStringBackup.INI 10.03.2006 02:10 4.799.320 MRT.exe 18.01.2006 14:05 57.344 AVSDA.DLL 04.01.2006 05:35 68.096 webclnt.dll 29.12.2005 04:54 280.064 gdi32.dll 17.12.2005 04:06 7.006 jupdate-1.5.0_06-b05.log 06.12.2005 07:02 5.533.696 wmp.dll 05.12.2005 07:12 56.832 pxcpya64.exe 05.12.2005 07:12 56.320 pxinsa64.exe 01.12.2005 05:31 1.492.480 shdocvw.dll 24.11.2005 01:58 1.022.464 browseui.dll 24.11.2005 01:58 3.013.632 mshtml.dll 23.11.2005 22:56 23.392 nscompat.tlb 23.11.2005 22:56 16.832 amcompat.tlb 15.11.2005 13:12 117.976 hashlib.dll 15.11.2005 13:12 126.680 GCCollection.dll 15.11.2005 13:12 95.448 gcUnCompress.dll 12.11.2005 20:31 223.224 FNTCACHE.DAT 10.11.2005 14:03 127.078 javaws.exe 10.11.2005 14:03 49.265 jpicpl32.cpl 10.11.2005 12:27 49.250 javaw.exe 10.11.2005 12:27 49.248 java.exe 05.11.2005 05:16 606.208 urlmon.dll 05.11.2005 05:16 1.056.256 danim.dll 21.10.2005 05:40 664.064 wininet.dll 21.10.2005 05:40 474.112 shlwapi.dll 21.10.2005 05:40 448.512 mshtmled.dll 21.10.2005 05:40 530.944 mstime.dll 21.10.2005 05:40 146.432 msrating.dll 21.10.2005 05:40 39.424 pngfilt.dll 21.10.2005 05:40 96.768 inseng.dll 21.10.2005 05:40 205.312 dxtrans.dll 21.10.2005 05:40 251.392 iepeers.dll 21.10.2005 05:40 55.808 extmgr.dll 21.10.2005 05:40 152.064 cdfview.dll 21.10.2005 00:25 1.094.144 esent.dll 17.10.2005 23:20 118.272 t2embed.dll 17.10.2005 23:20 80.896 fontsub.dll 13.10.2005 01:11 15.584 spmsg.dll 06.10.2005 05:08 1.839.616 win32k.sys 23.09.2005 05:06 8.491.520 shell32.dll 10.09.2005 03:54 2.067.968 cdosys.dll 01.09.2005 03:44 292.352 winsrv.dll 01.09.2005 03:44 19.968 linkinfo.dll 30.08.2005 05:55 1.292.800 quartz.dll 23.08.2005 05:39 124.416 umpnpmgr.dll 22.08.2005 20:31 197.632 netman.dll 13.08.2005 17:41 3.799 jupdate-1.5.0_04-b05.log 11.08.2005 17:11 65.024 nwwks.dll 26.07.2005 06:39 74.752 olecli32.dll 26.07.2005 06:39 11.776 xolehlp.dll 26.07.2005 06:39 397.824 rpcss.dll 26.07.2005 06:39 37.888 olecnv32.dll 26.07.2005 06:39 101.376 txflog.dll 26.07.2005 06:39 1.285.120 ole32.dll 26.07.2005 06:39 945.152 msdtctm.dll 26.07.2005 06:39 66.560 mtxclu.dll 26.07.2005 06:39 91.136 mtxoci.dll 26.07.2005 06:39 161.280 msdtcuiu.dll 26.07.2005 06:39 425.472 msdtcprx.dll 26.07.2005 06:39 243.200 es.dll 26.07.2005 06:39 540.160 comuid.dll 26.07.2005 06:39 1.267.200 comsvcs.dll 26.07.2005 06:39 60.416 colbact.dll 26.07.2005 06:39 97.792 comrepl.dll 26.07.2005 06:39 498.688 clbcatq.dll 26.07.2005 06:39 110.080 clbcatex.dll 26.07.2005 06:39 625.152 catsrvut.dll 26.07.2005 06:39 225.792 catsrv.dll 12.07.2005 19:04 520.456 LegitCheckControl.dll 12.07.2005 19:04 23.304 GWFSPidGen.dll 08.07.2005 18:28 249.344 tapisrv.dll 08.07.2005 18:28 76.800 remotesp.tsp 05.07.2005 10:57 335.872 mgxoschk.dll 29.06.2005 03:49 74.240 mscms.dll 29.06.2005 03:49 254.976 icm32.dll 28.06.2005 10:21 22.752 spupdsvc.exe 15.06.2005 19:49 295.936 kerberos.dll 11.06.2005 01:53 57.856 spoolsv.exe 27.05.2005 04:04 546.304 hhctrl.ocx 27.05.2005 04:04 137.216 itss.dll 27.05.2005 04:04 41.472 hhsetup.dll 27.05.2005 04:04 155.136 itircl.dll 26.05.2005 04:16 1.343.768 wuaueng.dll 26.05.2005 04:16 173.536 wuweb.dll 26.05.2005 04:16 41.240 wups.dll 26.05.2005 04:16 18.200 wups2.dll 26.05.2005 04:16 198.424 iuengine.dll 26.05.2005 04:16 75.544 cdm.dll 26.05.2005 04:16 128.280 wucltui.dll 26.05.2005 04:16 466.200 wuapi.dll 26.05.2005 04:16 124.696 wuauclt.exe 26.05.2005 04:16 174.872 wuaucpl.cpl 26.05.2005 04:16 174.872 wuauclt1.exe 26.05.2005 04:16 194.840 wuaueng1.dll 17.05.2005 02:42 17.408 xpsp3res.dll 11.05.2005 04:30 78.336 telnet.exe 09.05.2005 22:32 3.364 d3d9caps.dat 04.05.2005 14:45 2.890.240 msi.dll 09.04.2005 22:17 401.408 DLLAV32.dll 09.04.2005 22:17 36.864 DLLPNT32.dll 09.04.2005 22:17 49.152 DLLIO32.dll 09.04.2005 22:17 155.648 DLLDEV32.dll 09.04.2005 22:17 143.360 DLLDRV32.dll 09.04.2005 22:17 188.416 DLLRES32.dll 09.04.2005 22:17 32.768 STRING32.dll 09.04.2005 21:05 27.807 mgxcdr.txt 05.04.2005 18:50 3.069 jupdate-1.5.0_02-b09.log 21.03.2005 15:00 271.360 msihnd.dll 21.03.2005 15:00 78.848 msiexec.exe 21.03.2005 15:00 884.736 msimsg.dll 21.03.2005 15:00 15.360 msisip.dll 14.03.2005 21:30 61.440 pxhpinst.exe 12.03.2005 00:28 172.032 pxmas.dll 12.03.2005 00:28 339.968 px.dll 12.03.2005 00:28 28.672 vxblock.dll 12.03.2005 00:28 405.504 pxdrv.dll 12.03.2005 00:28 339.968 pxwave.dll 02.03.2005 23:23 3.761 qtplugin.log 02.03.2005 20:09 56.832 authz.dll 02.03.2005 20:09 578.560 user32.dll 02.03.2005 20:06 2.017.792 ntkrnlpa.exe 02.03.2005 20:06 2.138.112 ntoskrnl.exe 06.02.2005 13:32 98.304 LFFAX14n.DLL 28.01.2005 16:23 228.352 wmerror.dll 28.01.2005 16:23 9.216 asferror.dll 28.01.2005 16:23 86.016 wmpshell.dll 28.01.2005 16:23 3.407.872 wmploc.dll 28.01.2005 16:23 486.400 Audiodev.dll 28.01.2005 16:23 316.416 MSWMDM.dll 28.01.2005 14:32 2.370.296 wmvcore.dll 28.01.2005 14:32 895.736 wmvdmod.dll 28.01.2005 14:32 1.218.808 wmvadvd.dll 28.01.2005 14:32 774.904 wmsdmod.dll 28.01.2005 14:32 396.528 wmadmod.dll 28.01.2005 14:32 413.944 wmspdmod.dll 28.01.2005 14:32 364.784 MSSCP.dll 28.01.2005 14:32 258.296 drmclien.dll 28.01.2005 09:53 290.816 WMDRMNet.dll 28.01.2005 09:53 335.872 WMDRMdev.dll 28.01.2005 09:53 502.272 drmv2clt.dll 28.01.2005 09:53 294.912 blackbox.dll 28.01.2005 09:53 96.768 drmstor.dll 28.01.2005 09:53 221.184 qasf.dll 28.01.2005 09:53 142.336 msnetobj.dll 28.01.2005 09:53 33.792 WMDMPS.dll 28.01.2005 09:53 164.864 cewmdm.dll 28.01.2005 09:53 173.568 MsPMSP.dll 28.01.2005 09:53 1.512.448 WMVADVE.DLL 28.01.2005 09:53 282.624 wmpdxm.dll 28.01.2005 09:53 135.168 wmpasf.dll 28.01.2005 09:53 28.160 WMDMLOG.dll 28.01.2005 09:53 25.088 MsPMSNSv.dll 28.01.2005 09:53 1.119.744 wmsdmoe2.dll 28.01.2005 09:53 940.544 wmspdmoe.dll 28.01.2005 09:53 1.003.008 wmvdmoe2.dll 28.01.2005 09:53 1.594.880 wmpencen.dll 28.01.2005 09:53 175.104 wmpsrcwp.dll 28.01.2005 09:53 716.288 wmadmoe.dll 28.01.2005 09:53 224.768 wmasf.dll 28.01.2005 09:53 1.027.072 wmnetmgr.dll 28.01.2005 09:53 6.656 laprxy.dll 28.01.2005 09:53 150.016 wmidx.dll 28.01.2005 09:52 20.480 wmp.ocx 28.01.2005 09:52 20.480 wmpcd.dll 28.01.2005 09:52 20.480 wmpui.dll 28.01.2005 09:52 20.480 wmpcore.dll 28.01.2005 02:36 38.912 wpd_ci.dll 28.01.2005 02:36 331.264 wpdsp.dll 28.01.2005 02:36 331.776 wpdmtpdr.dll 28.01.2005 02:36 114.176 wpdmtp.dll 28.01.2005 02:36 66.560 wpdmtpus.dll 28.01.2005 02:36 61.952 wpdconns.dll 28.01.2005 02:36 10.752 wpdtrace.dll 28.01.2005 02:36 47.104 uwdf.exe 28.01.2005 02:36 38.912 wdfmgr.exe 28.01.2005 02:35 15.872 wdfapi.dll 28.01.2005 02:26 360.448 l3codecp.acm 28.01.2005 02:21 96.768 logagent.exe 23.01.2005 11:10 3.243 jupdate-1.4.2_06-b03.log 08.01.2005 03:59 10.752 gcmd5query.dll 03.01.2005 11:00 1.135.104 Gear32so.ocx 02.01.2005 18:17 25.065 wmpscheme.xml 02.01.2005 18:11 396 spdwnwxp.log 02.01.2005 13:17 269 spupdwxp.log 02.01.2005 12:38 45.917 QuickTime.qtp |
war's das? |
Hallo, ja, das war es. Ich gehe es jetzt durch, kann ein paar Minuten dauern. Grüße Wildone |
Hallo, besorge dir killbox und lösche folgende Dateien on reboot: C:\Windows\System32\dfrgsrv.exe C:\Windows\System32\mssearchnet.exe C:\Windows\System32\nvctrl.exe C:\Windows\System32\ld9133.tmp C:\Windows\System32\hp9182.tmp C:\Windows\System32\interf.tlb C:\Windows\System32\ncompat.tlb Das sollte es eigentlich schon gewesen sein. Zukünftig machst du einen großen Bogen um Cracks, Seiten die selbige anbieten, obskure Videocodecs und eigentlich jegliche software aus fragwürdigen Quellen. Grüße Wildone |
Hallo Wildone, vielen Dank für's Helfen. Jetzt sieht es wieder gut aus. Keine Pop-Ups oder Verlinkseiten mehr und auch keine dubiosen Warnungen vor irgendwelchen Spyware-Angriffen etc. Darauf gebe ich einen aus! :-):party: Bis denne.... |
Hallo,ich habe genau dasselbe Problem wie der Threadstarter.Hoffe einer von euch kann mir irgendwie helfen. Hier eine Logfile von HJT: Logfile of HijackThis v1.99.1 Scan saved at 13:23:28, on 10.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvctrl.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe C:\WINDOWS\?dobe\?xplorer.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/startcenter/redirect/fla-vod-0409-legalundgenial.htm R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Nothing - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E2308B-CBA8-4C77-B63F-5FEF26A45E0B}: NameServer = 217.237.151.225 217.237.150.225 O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Und hier die 4 Logfiles der datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS\system32 10.04.2006 13:50 6.144 interf.tlb 09.04.2006 12:14 13.646 wpa.dbl 06.04.2006 16:24 5.040 ncompat.tlb 05.04.2006 20:50 2 stera.job 02.04.2006 22:52 16.568 nvctrl.exe 31.03.2006 23:27 154 AdService.bat 31.03.2006 15:03 4.286 ot.ico 31.03.2006 15:03 4.286 ts.ico 30.03.2006 23:47 2 wnsapicc.exe 28.03.2006 17:09 285.312 FNTCACHE.DAT 27.03.2006 21:34 2 tasklist.com 27.03.2006 21:34 2 taskkill.com 27.03.2006 21:34 2 ping.com 27.03.2006 21:34 2 cmd.com 27.03.2006 21:34 2 netstat.com 27.03.2006 21:34 2 tracert.com 27.03.2006 21:34 2 regedit.com 26.03.2006 15:20 380.350 perfh009.dat 26.03.2006 15:20 391.000 perfh007.dat 26.03.2006 15:20 52.764 perfc009.dat 26.03.2006 15:20 63.580 perfc007.dat 26.03.2006 15:20 897.954 PerfStringBackup.INI 10.03.2006 02:10 4.799.320 MRT.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp 10.04.2006 13:53 16.384 Perflib_Perfdata_748.dat 10.04.2006 13:50 222 jusched.log 2 Datei(en) 16.606 Bytes 0 Verzeichnis(se), 51.695.755.264 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS 10.04.2006 13:10 0 0.log 10.04.2006 13:10 1.907.707 WindowsUpdate.log 10.04.2006 13:10 2.048 bootstat.dat 10.04.2006 11:54 32.566 SchedLgU.Txt 06.04.2006 22:27 205.964 wmsetup.log 06.04.2006 16:28 216 wiadebug.log 06.04.2006 15:41 50 wiaservc.log 06.04.2006 15:27 9.300 DtcInstall.log 31.03.2006 18:56 95 winamp.ini 31.03.2006 18:14 49 NeroDigital.ini 31.03.2006 15:02 39.424 mtuninst.exe 31.03.2006 15:02 28.292 setupapi.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\ 10.04.2006 14:07 0 sys.txt 10.04.2006 14:07 9.276 system.txt 10.04.2006 14:07 354 systemtemp.txt 10.04.2006 14:07 96.577 system32.txt 10.04.2006 13:09 402.653.184 pagefile.sys |
Hallo, nein du hast ungleich größere Probleme wie der TE, z.B dadurch: O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe (wahrscheinlich Purityscan oder ähnlich, da bin ich bei der Beseitigung noch höchst schwach auf der Brust. Fangen wir erst mal mit den Punkten zwei und drei meines ersten Postings an. *erledig* Edit: Poste mal noch mal die Logfiles, dieses mal die Dateien der letzten drei Monate abkopieren, da ist ja jetzt schon so einiges zu finden. Ach ja, hast du Acronis Trueimage nur zum Spass, oder hast du ein sauberes Image in der Hinterhand? Grüße Wildone |
Mmmm,also Acronis True Image benötige ich eig. nicht,also habs auch noch nicht benutzt.Hab auch noch all die Programme drauf, die meine Familie vorher benutzte,hab vorletztes Jahr ne eigene Festplatte bekommen.Also hier die Logfiles dieses jahres: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS\system32 10.04.2006 13:50 6.144 interf.tlb 09.04.2006 12:14 13.646 wpa.dbl 05.04.2006 20:50 2 stera.job 02.04.2006 22:52 16.568 nvctrl.exe 31.03.2006 23:27 154 AdService.bat 30.03.2006 23:47 2 wnsapicc.exe 28.03.2006 17:09 285.312 FNTCACHE.DAT 27.03.2006 21:34 2 ping.com 27.03.2006 21:34 2 netstat.com 27.03.2006 21:34 2 regedit.com 27.03.2006 21:34 2 tasklist.com 27.03.2006 21:34 2 tracert.com 27.03.2006 21:34 2 cmd.com 27.03.2006 21:34 2 taskkill.com 26.03.2006 15:20 380.350 perfh009.dat 26.03.2006 15:20 52.764 perfc009.dat 26.03.2006 15:20 391.000 perfh007.dat 26.03.2006 15:20 63.580 perfc007.dat 26.03.2006 15:20 897.954 PerfStringBackup.INI 10.03.2006 02:10 4.799.320 MRT.exe 18.02.2006 13:29 3.089 MRT.INI 18.01.2006 13:05 57.344 avsda.dll 04.01.2006 05:35 68.096 webclnt.dll 02.01.2006 21:05 62.464 bszip.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp 10.04.2006 13:53 16.384 Perflib_Perfdata_748.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 51.800.293.376 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS 10.04.2006 14:12 178.894 setupact.log 10.04.2006 13:10 0 0.log 10.04.2006 13:10 1.907.707 WindowsUpdate.log 10.04.2006 13:10 2.048 bootstat.dat 10.04.2006 11:54 32.566 SchedLgU.Txt 06.04.2006 22:27 205.964 wmsetup.log 06.04.2006 16:28 216 wiadebug.log 06.04.2006 15:41 50 wiaservc.log 06.04.2006 15:27 9.300 DtcInstall.log 31.03.2006 18:56 95 winamp.ini 31.03.2006 18:14 49 NeroDigital.ini 31.03.2006 15:02 39.424 mtuninst.exe 31.03.2006 15:02 28.292 setupapi.log 19.02.2006 16:22 30.236 spupdsvc.log 18.02.2006 13:31 169.391 comsetup.log 18.02.2006 13:31 101.930 ntdtcsetup.log 18.02.2006 13:31 74.165 iis6.log 18.02.2006 13:31 186.896 tsoc.log 18.02.2006 13:31 24.316 ocmsn.log 18.02.2006 13:31 1.374 imsins.log 18.02.2006 13:31 12.949 KB911927.log 18.02.2006 13:31 245.997 ocgen.log 18.02.2006 13:31 24.263 msgsocm.log 18.02.2006 13:31 473.901 FaxSetup.log 18.02.2006 13:31 22.636 updspapi.log 18.02.2006 13:31 1.374 imsins.BAK 18.02.2006 13:31 9.581 KB911564.log 18.02.2006 13:31 10.118 KB911565.log 18.02.2006 13:30 9.083 KB913446.log 09.02.2006 23:15 34 cdplayer.ini 10.01.2006 22:23 10.134 KB908519.log 06.01.2006 04:01 11.035 KB912919.log 01.01.2006 04:05 1.032.563 setupapi.log.0.old Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\ 10.04.2006 14:23 0 sys.txt 10.04.2006 14:22 9.276 system.txt 10.04.2006 14:22 305 systemtemp.txt 10.04.2006 14:16 96.440 system32.txt 10.04.2006 14:12 3.632 smitfiles.txt 10.04.2006 13:09 402.653.184 pagefile.sys |
Hallo, Zitat:
Beende erstmal noch folgende Prozess im Taskmanager: C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe überprüfe die zugehörige Datei hier, und poste das Ergebnis. Grüße Wildone |
Zitat:
"Der Task Manager konnte diesen kritischen Systemprozess nicht beenden" Was nun? |
Hallo, ups, ja mein Fehler. Im Taskmanager ist ja der Systemprozess von dem potenziellen Virus nicht zu unterscheiden. Gehe mal in den abgesicherten Modus (F8 beim booten), und benenne die Datei: C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe um (von mir aus in virus.exe oder ähnlich. Gehe dann wieder in den normalen Modus und überprüfe diese umgenannte Datei. Grüße Wildone |
Hallo, also erst einmal schonmal DANKE dass du mir behilflich bist.Bin jetzt allerdings nicht so der PC experte was fachbegriffe und so angeht,also könntes du mir evtl verraten was man unter booten versteht?!;) Gruß,David EDIT: Okay,Google hat geholfen,also ich starte den PC neu,und dabei drücke ich die Taste "F8" wenn ich es richtig gelesen habe?! |
Hallo, ich sehe schon, wir werden noch viel Spass haben. Aber frage ruhig immer nach, ist ja noch kein Meister vom Himmel gefallen. booten heißt hochfahen oder System starten. Also während das System startet drückst du mehrmals auf F8 dann sollte ein Menü mit der Option "System im abgesicherten Modus starten" erscheinen. Edit Ja korrekt. bei der nächsten Frage vorher google bedienen und dann fragen. ;) Grüße Wildone |
Okay alles klaro.Dankeschön,werde ich dann jetzt mal machen. Gruß |
So,okay,hab "lsass.exe" in virus umbenannt,allerdings zeigt der Task Manager immer noch "lsass.exe" an?! |
Hallo, das ist schon in Ordnung, das ist jetzt der Systemprozess lsass.exe, überprüfe die umbenannte Datei bei virustotal und her mit dem Ergebnis. Grüße Wildone |
"Analysis service has stopped. Your response can take an undefined time. If you prefer receiving it by email when the service is restarted please fill in your email address:" Funzt anscheinend nicht im moment?! Gruß,David |
|
Zu überprüfende Datei: virus.exe virus.exe Ok Statistiken: Bekannte Viren: 187321 Updated: 10-04-2006 Größe der Datei (Kb): 13 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Also,laut dem Scan ist mit der datei nichts besonderes?! |
Was ich noch vergessen hatte zu sagen,es existierte keine datei in dem Verzeichnis "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" Die Datei "lsass.exe" ist im Verzeichnis "C:\WINDOWS\ServicePackFiles\i386" bei mir zu finden.Wenn ich irgendwas nicht gerallt habe oder zu verplant bin sag es ruhig!;) Gruß,David |
Hallo, kann ich mir eigentlich nicht vorstellen das die in Ordnung ist. Versuche es später noch mal bei virustotal und/oder schicke sie mit Passwort verpackt an newvirus@kaspersky.com (falls du das nicht hin bekommst kommen wir da später noch mal drauf zurück). Jetzt mach mal folgendes: Start>>Ausführe cmd eingeben und dort dir /s /a "c:\?xplorer.exe*.*" > c:\find.txt & start notepad c:\find.txt und poste was erscheint. Edit Zitat:
Die einzige lsass.exe die ein Virus sein könnte (oder wahrscheinlich ist) ist die unter diesem Pfad: C:\PROGRA~1\COMMON~1\MCROSO~1.NET\ alle anderen sind harmlos. Und die muss da sein, da sie läuft. Aber kommen wir auf die Datei später nochmal zurück. Grüße Wildone |
Wenn ich cmd eingebe erscheint das Fenster "C:\WINDOWS\SYSTEM32\cmd.com",allerdings kann ich dort weder etwas eingeben,es sonst irgendwie beeinflussen,und grade erschien eine Fehlermeldung,und es beendete sich von selbst. Gruß,David EDIT: Okay,wusste ichs doch dass ich irgendwie veplant bin!!!Ist halt nicht so mein Fall das ganze PC Gewurschtel!:D |
Es befindet sich unter diesem Pfad aber keine Datei,tausendprozentig.Deswegen habe ich sie ja unter "Start--->Suchen" eingegebn und sie fand sich in den Service Pack Files wieder.:dummguck: |
Hallo, sch* noch mal, richtig du hast ja noch ein dritte Problem. Jetzt besorgst du dir erst mal killbox und löschst folgende Dateien on reboot: C:\WINDOWS\system32\interf.tlb C:\WINDOWS\system32\stera.job C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\system32\AdService.bat C:\WINDOWS\system32\wnsapicc.exe C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\0.log C:\WINDOWS\mtuninst.exe C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx C:\WINDOWS\YAXUninst.exe (die beiden letzten nur falls vorhanden) Grüße Wildone |
So,hab alles gemacht wie in der Beschriebung stand.Und nun? |
Hallo, jetzt machst du noch mal das hier: Zitat:
Grüße Wildone |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von c:\WINDOWS 04.08.2004 09:57 1.035.264 explorer.exe 1 Datei(en) 1.035.264 Bytes Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$ 02.04.2003 14:00 1.007.104 explorer.exe 1 Datei(en) 1.007.104 Bytes Verzeichnis von c:\WINDOWS\ServicePackFiles\i386 04.08.2004 09:57 1.035.264 explorer.exe 1 Datei(en) 1.035.264 Bytes Verzeichnis von c:\WINDOWS\?dobe 27.03.2006 18:51 409.600 ?xplorer.exe 1 Datei(en) 409.600 Bytes Anzahl der angezeigten Dateien: 4 Datei(en) 3.487.232 Bytes 0 Verzeichnis(se), 51.667.152.896 Bytes frei Gruß!! |
Hallo, hätte zwar ein anderes Ergebnis erwartet, aber nun gut. Gehe in den abgesicherten Modus und lösche den Ordner c:\WINDOWS\?dobe (könnte auch als C:\Windows\Adobe angezeigt werden), aber achte darauf nur den Ordner mit dem Datum 27.03.2006 zu löschen! Dann postest du mal nochmal ein neues HijackThis Logfile und nochmal die vier Logfiles der Datfind.bat Grüße Wildone |
HJT Logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:11:57, on 10.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/startcenter/redirect/fla-vod-0409-legalundgenial.htm R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E2308B-CBA8-4C77-B63F-5FEF26A45E0B}: NameServer = 217.237.151.225 217.237.150.225 O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe datfind: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS\system32 09.04.2006 12:14 13.646 wpa.dbl 28.03.2006 17:09 285.312 FNTCACHE.DAT 26.03.2006 15:20 380.350 perfh009.dat 26.03.2006 15:20 391.000 perfh007.dat 26.03.2006 15:20 52.764 perfc009.dat 26.03.2006 15:20 63.580 perfc007.dat 26.03.2006 15:20 897.954 PerfStringBackup.INI 10.03.2006 02:10 4.799.320 MRT.exe 18.02.2006 13:29 3.089 MRT.INI 18.01.2006 13:05 57.344 avsda.dll 04.01.2006 05:35 68.096 webclnt.dll 02.01.2006 21:05 62.464 bszip.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\DOKUME~1\David\LOKALE~1\Temp 10.04.2006 17:12 512 ~DF30A3.tmp 10.04.2006 17:12 512 ~DF308A.tmp 10.04.2006 17:12 16.384 ~DF3098.tmp 10.04.2006 17:12 512 ~DF3071.tmp 10.04.2006 17:12 16.384 ~DF3063.tmp 10.04.2006 17:12 16.384 ~DF307F.tmp 10.04.2006 17:12 512 ~DF3055.tmp 10.04.2006 17:12 16.384 ~DF304A.tmp 10.04.2006 17:11 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}5054.html 10.04.2006 17:10 16.384 ~DF8EFC.tmp 10.04.2006 17:10 49.152 ~DF8F65.tmp 10.04.2006 17:09 16.384 ~DF8F55.tmp 10.04.2006 17:09 16.384 ~DF8BFF.tmp 10.04.2006 17:09 512 ~DF8B97.tmp 10.04.2006 17:09 16.384 ~DF8A5D.tmp 10.04.2006 17:09 512 ~DF8A05.tmp 10.04.2006 17:09 16.384 ~DF89EF.tmp 10.04.2006 17:09 16.384 ~DF344B.tmp 10.04.2006 17:09 512 ~DF201F.tmp 10.04.2006 17:09 16.384 ~DF2014.tmp 10.04.2006 17:08 16.384 Perflib_Perfdata_3a0.dat 10.04.2006 17:07 666 jusched.log 10.04.2006 16:52 409 NDr2E.tmp.html 10.04.2006 16:47 409 NDr29.tmp.html 10.04.2006 16:42 409 NDr27.tmp.html 10.04.2006 16:30 16.384 ~DFA6E6.tmp 10.04.2006 16:15 16.384 ~DF94D3.tmp 10.04.2006 16:15 16.384 ~DF94BA.tmp 10.04.2006 16:15 16.384 ~DF94A1.tmp 10.04.2006 16:15 16.384 ~DF9488.tmp 10.04.2006 15:43 409 NDr26.tmp.html 10.04.2006 15:31 16.384 ~DFA6AA.tmp 10.04.2006 15:31 16.384 ~DF8A4E.tmp 10.04.2006 14:56 409 NDrA1.tmp.html 10.04.2006 14:45 409 NDr9D.tmp.html 35 Datei(en) 368.130 Bytes 0 Verzeichnis(se), 51.661.811.712 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\WINDOWS 10.04.2006 17:07 0 0.log 10.04.2006 17:06 1.936.308 WindowsUpdate.log 10.04.2006 17:06 2.048 bootstat.dat 10.04.2006 16:59 301.884 ntbtlog.txt 10.04.2006 16:56 32.566 SchedLgU.Txt 10.04.2006 14:12 178.894 setupact.log 06.04.2006 22:27 205.964 wmsetup.log 06.04.2006 16:28 216 wiadebug.log 06.04.2006 15:41 50 wiaservc.log 06.04.2006 15:27 9.300 DtcInstall.log 31.03.2006 18:56 95 winamp.ini 31.03.2006 18:14 49 NeroDigital.ini 31.03.2006 15:02 28.292 setupapi.log 19.02.2006 16:22 30.236 spupdsvc.log 18.02.2006 13:31 169.391 comsetup.log 18.02.2006 13:31 101.930 ntdtcsetup.log 18.02.2006 13:31 74.165 iis6.log 18.02.2006 13:31 24.316 ocmsn.log 18.02.2006 13:31 1.374 imsins.log 18.02.2006 13:31 186.896 tsoc.log 18.02.2006 13:31 12.949 KB911927.log 18.02.2006 13:31 24.263 msgsocm.log 18.02.2006 13:31 245.997 ocgen.log 18.02.2006 13:31 473.901 FaxSetup.log 18.02.2006 13:31 22.636 updspapi.log 18.02.2006 13:31 1.374 imsins.BAK 18.02.2006 13:31 9.581 KB911564.log 18.02.2006 13:31 10.118 KB911565.log 18.02.2006 13:30 9.083 KB913446.log 09.02.2006 23:15 34 cdplayer.ini 10.01.2006 22:23 10.134 KB908519.log 06.01.2006 04:01 11.035 KB912919.log 01.01.2006 04:05 1.032.563 setupapi.log.0.old Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: AC4C-70F6 Verzeichnis von C:\ 10.04.2006 17:14 0 sys.txt 10.04.2006 17:14 9.226 system.txt 10.04.2006 17:13 2.037 systemtemp.txt 10.04.2006 17:12 95.858 system32.txt 10.04.2006 17:06 402.653.184 pagefile.sys 10.04.2006 16:44 810 find.txt 10.04.2006 14:12 3.632 smitfiles.txt Gruß,David |
Hallo, sieht, bis auf ein paar Sachen, jetzt besser aus. Gehe mal unter Systemsteuerung>>Software und deinstalliere einen Eintrag(Falls vorhanden) WhenU oder WhenUSave o.ä. Fixe (Haken davor und auf "fix checked" ) mal folgende Einträge mit HijackThis: O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpA4F5.tmp (file missing) O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKCU\..\Run: [Hddh] C:\WINDOWS\?dobe\?xplorer.exe O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [Tcot] "C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe" -vt ndrv O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - hxxp://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - hxxp://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Inst all3.5/Installer.exe O20 - Winlogon Notify: winghy32 - winghy32.dll (file missing) Falls vorhanden löschst du noch den Ordner C:\Programme\Save\ Die Datei C:\PROGRA~1\COMMON~1\MCROSO~1.NET\lsass.exe ist übrigens immernoch vorhanden, du weißt schon das diese ~1 für beliebig folgende Zeichen steht (Also der Ordner C:\Programme\Common Files\... heißen wird) Besorge dir mal noch Ewido, scanne damit das System und Poste den Report. Außerdem machst du mal noch einen Onlinescan bei Panda (mit dem IE) und berichtest was gefunden wird. Grüße Wildone |
Das der Ordner "C:\Programme\Common Files\" heißt ist mir klar,jedoch finde ich in ihm einfach nichts.Komisch."WhenuSave" war auch nicht auffindbar,allerdings wurde es eben beim systemscan gelöscht,kann mich aber erinnern das vor ein par monaten schon entfernt zu haben.Naja,ich begebe mich ebend unter die Dusche (solange vorm PC zu sitzen ist anstrengend;) ) Sobald der report fertig ist,poste ich den natürlich direkt.Aber nochmal DANKESCHÖN dass du die ganze Zeit auf dich nimmst um mir zu helfen,RESPEKT!!!Also bis gleich, Gruß,David |
Ewido Report: ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 18:36:39, 10.04.2006 + Report-Checksumme: 91AF26EC + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{2178F3FB-2560-458f-BDEE-631E2FE0DFE4} -> Adware.WinAntiVirus : Gesäubert mit Backup HKLM\SOFTWARE\Classes\MEDIATICKETSINSTALLER.MediaTicketsInstallerCtrl.1 -> Adware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\ClickSpring -> Adware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{4da4616d-7e6e-4fd9-a2d5-b6c535733e22} -> Adware.Generic : Gesäubert mit Backup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MediaTickets -> Adware.PurityScan : Gesäubert mit Backup HKLM\SOFTWARE\WhenUSave -> Adware.SaveNow : Gesäubert mit Backup HKLM\SOFTWARE\WhenUSave\Partners -> Adware.SaveNow : Gesäubert mit Backup HKLM\SOFTWARE\WhenUSave\Partners\EEPE -> Adware.SaveNow : Gesäubert mit Backup HKU\S-1-5-21-1993962763-1958367476-1801674531-1006\Software\IST -> Adware.ISTBar : Gesäubert mit Backup HKU\S-1-5-21-1993962763-1958367476-1801674531-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4DA4616D-7E6E-4FD9-A2D5-B6C535733E22} -> Adware.Generic : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@ad.adition[1].txt -> TrackingCookie.Adition : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@com[1].txt -> TrackingCookie.Com : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@media.fastclick[1].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@revenue[1].txt -> TrackingCookie.Revenue : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@smm.valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup C:\Dokumente und Einstellungen\David\Cookies\david@valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert mit Backup ::Report Ende |
Hallo, sieht ja schonmal recht sauber aus, dann noch das Ergebnis von Panda. Und die lsass.exe macht mir immernoch Sorgen. Grüße Wildone |
Ja,aber ich habe echt keine ahnung wo die sich befinden könnte! |
Hallo, ich weiß es schon, aber das der Pfad angeblich nicht angezeigt wird finde ich schon seltsam. Mach mal noch einen Scan mit F-Secure Blacklight und poste das Log (wird automatisch im selben Pfad erstellt, fsbl**.txt). Grüße Wildone |
Hab jetzt noch einmal nach lsass.exe gesucht,und die Datei findet sich angeblich unter folgendem Pfad wieder: C:\WINDOWS\$NtServicePackUninstall$ Allerdings ist dieser versteckt. Gruß,David |
Hallo, auch dort ist sie in Ordnung, weil Systemdatei. Nimm mal noch folgende Einstellungen vor und schau/suche nochmal. Grüße Wildone |
HAB IHN!!!Die Datei war versteckt. C:\Programme\Common Files\Mіcrosoft.NET Okay,und jetzt? |
|
lsass.exe bei Virustotal: Datei: lsass.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: UPX AntiVir Trojan/Dldr.PurityScan.BJ gefunden ArcaVir Trojan.Agent.Hp.M31 gefunden Avast Win32:PurityScan-N gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.ClickSpring gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.PurityScan.bj gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Backdoor.Rbot.2 (paranoid heuristics) gefunden (mögliche Variante) Scanner Name der Malware AntiVir Worm/IRCB.47104.2.A ArcaVir X Avast Win32:Horst-C AVG Antivirus X BitDefender Trojan.Spambot.AZ ClamAV X Dr.Web X F-Prot Antivirus X Fortinet X Kaspersky Anti-Virus X NOD32 a variant of Win32/Spabot.NAA Norman Virus Control X UNA X VirusBuster X VBA32 X |
Hallo, lösche den ganzen Ordner C:\Programme\Common Files\Mіcrosoft.NET mit killbox (deltree) on reboot. Falls du den Onlinescan bei Panda noch nicht angefangen hast, wäre es besser du machst ihn hier und postest dann das Ergebnis. Grüße Wildone |
Mmmmh,wenn ich auf reboot gehe kommt da folgende Fehlermeldung: "PendingFileRenameOperations Registry Data has been Removed by External Process!" Gruß! |
Hallo, versuche es mal ganz normal den Ordner zu löschen, funktioniert das? Grüße Wildone |
Joar,hat gefunzt!;) |
Hallo, dann noch den Scan mit dem Kaspersky Online Scanner und wenn nichts mehr schwerwiegendes gefunden wird sollte es das dann gewesen sein. Später bekommst du dann noch ein paar Links damit soetwas zukünftig nicht mehr passiert. Ein Anfang wäre übrigens mal die Spywareschleuder Bearshare zu deinstallieren. Wenn Filesharing schon unbedingt sein muss dann nimm wenigstens ein Spywarefreies Programm dafür. Grüße Wildone |
Alles klar,dann danke ich dir schonmal für alles,ich glaube ohne dich hätte ich das alles nicht hinbekommen!:party: Den Tipp mit Bearshare nehm ich mir zu Herzen,hab aber Bearsharepro,aber egal,ich werds machen! Gruß,David |
Hi Leuts, hätte mal ne Frage. Meine Mutter hat bei sich auf dem rechner auch den hier erwähnten Virus. Nur leider kann ich Ihr die hier erwähnten Tips nicht geben weil Sie erst gar nicht ins Netzt kommt um sich die Tools zu ziehen. Gibt es noch ne Möglichkeit den loszuwerden ? Grüße Brooklin |
Zitat:
|
Hallo Broklin, glaub ich nicht.Besser du arbeitest die Anleitungen ab. Irrlicht |
Hallo, ich bin neu hier und bin zu diesem forum, weil ich auch dieses problem habe!! Nun wollte ich mal fragen, ob ihr mir auch helfen könnt. Kann aber die ganzen files erst morgen abend oder sonntag reinstellen, weil ich vorher keine zeit habe. Ich bedanke mich schon mal im voraus !!!! schönen abend noch wünscht: Drehgott |
Habe auch das Problem... shit Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS\system32 18.04.2006 10:51 5.032 ncompat.tlb 18.04.2006 09:42 1.324 d3d9caps.dat 18.04.2006 09:42 39.291 nvapps.xml 18.04.2006 09:41 7.680 interf.tlb 18.04.2006 09:41 44.557 ld7C73.tmp 18.04.2006 09:41 48.128 hp7C73.tmp 18.04.2006 07:58 17.092 nvctrl.exe 18.04.2006 07:58 4.286 ot.ico 18.04.2006 07:58 4.286 ts.ico 18.04.2006 07:58 10.040 mssearchnet.exe 18.04.2006 07:56 2.206 wpa.dbl 13.04.2006 10:12 40 mscandc.ini 13.04.2006 08:31 352.176 FNTCACHE.DAT 11.04.2006 09:57 61.764 perfc009.dat 11.04.2006 09:57 399.160 perfh009.dat 11.04.2006 09:57 414.028 perfh007.dat 11.04.2006 09:57 74.600 perfc007.dat 11.04.2006 09:42 16.161 dfrgsrv.exe 06.04.2006 21:48 5.143.456 MRT.exe 03.04.2006 14:21 0 MX_SHARE.DAT 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 29.03.2006 14:52 957.194 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 22.03.2006 10:06 86 $winnt$.inf 18.03.2006 13:09 615.424 urlmon.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp 18.04.2006 10:12 59.964 Adobelm_Cleanup.0001 18.04.2006 10:11 0 1BBDDE.dmp 18.04.2006 10:11 0 1B7914.dmp 18.04.2006 10:11 2.048.000 Acr5.tmp 18.04.2006 09:51 66.267 avsmtptmp.$$$ 18.04.2006 09:42 224 WCESCOMM.LOG 18.04.2006 09:31 3.832 WcesView.log 18.04.2006 09:27 219.903 wcesmgr.log 18.04.2006 08:43 16.642 outstore.log 18.04.2006 08:13 717 control.xml 18.04.2006 07:58 498 MSI1f9eb.LOG 13.04.2006 12:08 498 MSI1db57.LOG 13.04.2006 10:53 156 Twunk001.MTX 13.04.2006 10:53 422 TWAIN.LOG 13.04.2006 10:53 4 Twain001.Mtx 13.04.2006 08:30 1.656 MSI3aec5.LOG 13.04.2006 08:28 28.584 ColorProfile.log 12.04.2006 13:30 498 MSI24e83.LOG 12.04.2006 12:03 884 MSI25b35.LOG 12.04.2006 10:56 2.165 ~WRD0002.doc 12.04.2006 10:56 16.384 ~WRF0006.tmp 12.04.2006 10:28 498 MSIcba3.LOG 12.04.2006 10:27 498 MSIcba2.LOG 12.04.2006 10:24 4.744 MSIcba1.LOG 12.04.2006 10:00 0 B0019.dmp 12.04.2006 09:59 388 MSI90c29.LOG 12.04.2006 09:37 2.286 IMT30.xml 12.04.2006 09:34 16.384 ~DF9145.tmp 12.04.2006 08:54 32.768 ~WRF0222.tmp 12.04.2006 08:52 498 MSI1ebe1.LOG 12.04.2006 08:47 32.768 ~WRF0267.tmp 12.04.2006 08:41 16.384 ~DF508.tmp 11.04.2006 14:26 498 MSI221e6.LOG 11.04.2006 12:53 1.656 MSI1ef2d.LOG 11.04.2006 12:48 0 6CC7A.dmp 11.04.2006 12:44 498 MSI1f96e.LOG 11.04.2006 12:27 0 101697.dmp 11.04.2006 12:12 498 MSI22c84.LOG 11.04.2006 12:07 1.270 MSI3d2f9.LOG 11.04.2006 11:32 5.032 temp.frE488 11.04.2006 11:02 548 MSI6d6fe.LOG 11.04.2006 11:02 498 MSI1b7d2.LOG 11.04.2006 10:58 32.138 MWLanguage.ini 11.04.2006 10:57 498 MSI1b7d1.LOG 11.04.2006 10:54 4.744 MSI1c241.LOG 11.04.2006 10:31 498 MSI20fe4.LOG 11.04.2006 10:24 32.768 ~WRF2944.tmp 11.04.2006 10:10 16.384 ~DFCF44.tmp 11.04.2006 09:57 29.411 InoSetup.log 10.04.2006 11:46 16.384 ~DF9A24.tmp 10.04.2006 10:57 382 MSIe76a8.LOG 10.04.2006 09:38 16.384 ~DFF7CC.tmp 10.04.2006 07:49 16.384 ~DFA8A0.tmp 08.04.2006 14:02 118 0CF6E057.TMP 07.04.2006 13:32 4.160 java_install_reg.log 07.04.2006 11:14 0 aax120.tmp 07.04.2006 11:14 0 aax11C.tmp 07.04.2006 11:13 0 aax11B.tmp 07.04.2006 09:19 180.224 ~DFEE55.tmp 06.04.2006 17:39 99 4483127C.TMP 06.04.2006 15:15 0 is187.tmp 06.04.2006 15:15 1.225 DLL_{20FD5B04-CE35-4F5B-A2F3-6D9FD644EB70}.ini 06.04.2006 09:21 311 dw.log 05.04.2006 15:10 382 MSIde6c3.LOG 04.04.2006 13:26 382 MSI325d8.LOG 04.04.2006 09:26 16.384 ~DF11E.tmp 03.04.2006 13:13 7.394 MSFaxWizardTempPreview-#00000ee41C6570FA8036A.tif 31.03.2006 13:11 0 CacheInfo.dnl 30.03.2006 12:31 16.384 ~DFDE6D.tmp 30.03.2006 11:59 119.016 set2.tmp 29.03.2006 14:46 32.768 ~WRF0972.tmp 29.03.2006 14:07 16.384 ~DF71C1.tmp 29.03.2006 14:07 16.384 ~DFB3A.tmp 28.03.2006 16:46 32.768 ~WRF1226.tmp 28.03.2006 16:38 16.384 ~DF2D5F.tmp 28.03.2006 16:34 16.384 ~DF35A1.tmp 28.03.2006 14:46 0 is13F.tmp 28.03.2006 14:39 16.384 ~DF6749.tmp 28.03.2006 13:40 53.248 ~ef7194.tmp 28.03.2006 10:17 154.624 ~WRS0211.tmp 28.03.2006 10:17 32.768 ~WRF0005.tmp 28.03.2006 10:16 9.280 MSFaxConsoleTempPreview-#00000f2827721fd1.tif 28.03.2006 10:11 23.689 ~WRD0000.doc 28.03.2006 10:08 0 JET9F10.tmp 28.03.2006 10:08 180.224 ~DFA45D.tmp 28.03.2006 10:08 0 JET9954.tmp 28.03.2006 10:04 16.384 ~DF6014.tmp 28.03.2006 08:01 293 tmpE.tmp 27.03.2006 13:55 32.768 ~WRF0004.tmp 27.03.2006 11:17 382 MSI677eb.LOG 27.03.2006 11:17 382 MSI677ea.LOG 27.03.2006 08:32 16.384 ~DF1F07.tmp 24.03.2006 16:17 6.804 wcesetup.log 24.03.2006 13:31 32.768 ~WRF0003.tmp 24.03.2006 13:04 16.384 ~DF5AF7.tmp 24.03.2006 13:00 112 TempSetupLog.cod 24.03.2006 11:48 376 wmplog00.sqm 23.03.2006 17:39 0 aax23.tmp 23.03.2006 15:55 1.022 IMTA.dtd 23.03.2006 15:55 2.794.308 IMT9.xml 23.03.2006 15:55 797.676 IMT8.xml 23.03.2006 15:55 426 IMT7.xml 23.03.2006 15:55 2.036 IMT6.xml 23.03.2006 13:28 552.520 _nsist.exe 23.03.2006 10:20 0 Twunk002.MTX 23.03.2006 09:45 1.517 ~WRD0001.doc 23.03.2006 09:45 45.056 ~WRC0000.tmp 23.03.2006 09:02 16.384 ~WRF0002.tmp 23.03.2006 08:57 229.376 ~DFFB80.tmp 22.03.2006 16:11 16.384 ~WRF0001.tmp 22.03.2006 10:42 16.384 ~WRF0000.tmp 22.03.2006 10:23 9.576 Microsoft Office 2003 Setup(0001).txt 22.03.2006 10:23 1.580.044 Microsoft Office 2003 Setup(0001)_Task(0001).txt 22.03.2006 10:19 100.983 offcln11.log 12.08.2005 00:35 158.976 ino_fltr.sys 20.01.2005 01:00 71.168 3aec0.mst 05.01.2005 19:05 20.352 ino_flpy.sys 12.10.2004 11:14 57.344 InstHelp.dll 11.08.2004 20:45 827.392 setup_wm.exe 06.02.2004 14:13 114.688 uninst.dll 08.12.2003 16:01 487.424 43gcjvgahnu44.ths 19.03.2003 10:53 8.007.680 Microsoft.mshtml.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS 18.04.2006 10:20 268 WISO.INI 18.04.2006 10:19 2.048 bootstat.dat 18.04.2006 10:11 1.192 IE4 Error Log.txt 18.04.2006 09:43 0 0.log 18.04.2006 09:43 3.900 ModemLog_Creatix V.92 Data Fax Modem.txt 18.04.2006 09:43 592.107 WindowsUpdate.log 18.04.2006 09:43 159 wiadebug.log 18.04.2006 09:43 50 wiaservc.log 18.04.2006 09:39 15.250 SchedLgU.Txt 18.04.2006 09:09 155 NeroDigital.ini 18.04.2006 08:13 21.714 wmsetup.log 13.04.2006 09:37 636 win.ini 12.04.2006 09:49 923 spupdsvc.log 12.04.2006 09:42 18.493 KB911565.log 12.04.2006 09:42 159.258 setupapi.log 12.04.2006 09:41 4.399 iis6.log 12.04.2006 09:41 4.988 ntdtcsetup.log 12.04.2006 09:41 8.229 comsetup.log 12.04.2006 09:41 1.368 ocmsn.log 12.04.2006 09:41 10.515 tsoc.log 12.04.2006 09:41 1.374 imsins.log 12.04.2006 09:41 25.281 KB911562.log 12.04.2006 09:41 11.664 ocgen.log 12.04.2006 09:41 1.236 msgsocm.log 12.04.2006 09:41 24.634 FaxSetup.log 12.04.2006 09:41 4.932 updspapi.log 12.04.2006 09:41 1.374 imsins.BAK 12.04.2006 09:41 27.823 KB912812.log 12.04.2006 09:41 19.722 KB908531.log 12.04.2006 09:41 19.552 KB911567.log 06.04.2006 15:51 630.784 fpuninst.exe 05.04.2006 13:15 8.276 WGA.log 03.04.2006 15:31 3.293 tm.ini 03.04.2006 15:26 118 tdf.dii 30.03.2006 15:46 8.415 cdplayer.ini 27.03.2006 10:47 243 BUHL.INI 27.03.2006 10:42 35 Ulead32.INI 27.03.2006 09:58 1.516 setupact.log 24.03.2006 16:17 2.510 Microsoft.MIF 24.03.2006 16:17 2.464 $_hpcst$.hpc 23.03.2006 17:03 0 muveeapp.INI 23.03.2006 16:05 1.071 AWMODEM.INF 23.03.2006 14:10 286 wmsetup10.log 22.03.2006 10:22 400 ODBC.INI 22.03.2006 10:20 0 Sti_Trace.log 22.03.2006 10:13 6 msoffice.ini 22.03.2006 10:07 345 OEWABLog.txt 22.03.2006 10:07 134.960 setuplog.txt 22.03.2006 10:04 1.154 sessmgr.setup.log 22.03.2006 10:04 508 DtcInstall.log 22.03.2006 10:03 1.416 regopt.log 22.03.2006 09:56 0 setuperr.log Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\ 18.04.2006 10:53 0 sys.txt 18.04.2006 10:53 7.032 system.txt 18.04.2006 10:53 6.483 systemtemp.txt 18.04.2006 10:53 105.527 system32.txt 18.04.2006 09:41 1.072.156.672 hiberfil.sys 18.04.2006 09:41 1.610.612.736 pagefile.sys 22.03.2006 10:05 211 boot.ini |
Hallo, alle die das Problem haben sollten erstmal diese Anleitung abarbeiten und falls dabei dann noch Probleme auftreten einen eigenen Thread eröffnen. Grüße Wildone |
Habe die Anleitung abgearbeitet, Danke... Bin ich jetzt sauber? |
Hallo, kommt drauf an, hast du die datfind.bat erstellt bevor oder nachdem du bereinig hast? Grüße Wildone |
So sieht es jetzt aus!!! ist das ok??? Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS\system32 18.04.2006 11:29 0 asfiles.txt 18.04.2006 11:26 2.550 Uninstall.ico 18.04.2006 11:26 1.406 Help.ico 18.04.2006 11:26 30.590 pavas.ico 18.04.2006 11:14 39.291 nvapps.xml 18.04.2006 11:14 1.324 d3d9caps.dat 18.04.2006 09:41 7.680 interf.tlb 18.04.2006 07:56 2.206 wpa.dbl 13.04.2006 10:12 40 mscandc.ini 13.04.2006 08:31 352.176 FNTCACHE.DAT 11.04.2006 09:57 61.764 perfc009.dat 11.04.2006 09:57 399.160 perfh009.dat 11.04.2006 09:57 74.600 perfc007.dat 11.04.2006 09:57 414.028 perfh007.dat 11.04.2006 09:42 16.161 dfrgsrv.exe 06.04.2006 21:48 5.143.456 MRT.exe 03.04.2006 14:21 0 MX_SHARE.DAT 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 29.03.2006 14:52 957.194 PerfStringBackup.INI 23.03.2006 22:34 3.074.560 mshtml.dll 22.03.2006 10:06 86 $winnt$.inf 18.03.2006 13:09 615.424 urlmon.dll Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp 18.04.2006 11:40 54.272 ginstall.dll 18.04.2006 11:36 6.237 wcesmgr.log 18.04.2006 11:16 240 outstore.log 18.04.2006 11:16 16.384 ~DF13BA.tmp 18.04.2006 11:16 2.991 WCESCOMM.LOG Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\WINDOWS 18.04.2006 11:28 695 win.ini 18.04.2006 11:27 180.894 setupapi.log 18.04.2006 11:20 4.384 ModemLog_Creatix V.92 Data Fax Modem.txt 18.04.2006 11:15 0 0.log 18.04.2006 11:15 50 wiaservc.log 18.04.2006 11:15 595.644 WindowsUpdate.log 18.04.2006 11:15 157 wiadebug.log 18.04.2006 11:14 2.048 bootstat.dat 18.04.2006 11:13 1.756 setupact.log 18.04.2006 11:13 121.154 ntbtlog.txt 18.04.2006 11:05 15.466 SchedLgU.Txt 18.04.2006 10:20 268 WISO.INI 18.04.2006 10:11 1.192 IE4 Error Log.txt 18.04.2006 09:09 155 NeroDigital.ini 18.04.2006 08:13 21.714 wmsetup.log 12.04.2006 09:49 923 spupdsvc.log 12.04.2006 09:42 18.493 KB911565.log 12.04.2006 09:41 8.229 comsetup.log 12.04.2006 09:41 4.988 ntdtcsetup.log 12.04.2006 09:41 4.399 iis6.log 12.04.2006 09:41 1.368 ocmsn.log 12.04.2006 09:41 1.374 imsins.log 12.04.2006 09:41 10.515 tsoc.log 12.04.2006 09:41 25.281 KB911562.log 12.04.2006 09:41 11.664 ocgen.log 12.04.2006 09:41 1.236 msgsocm.log 12.04.2006 09:41 24.634 FaxSetup.log 12.04.2006 09:41 4.932 updspapi.log 12.04.2006 09:41 1.374 imsins.BAK 12.04.2006 09:41 27.823 KB912812.log 12.04.2006 09:41 19.722 KB908531.log 12.04.2006 09:41 19.552 KB911567.log 06.04.2006 15:51 630.784 fpuninst.exe 05.04.2006 13:15 8.276 WGA.log 03.04.2006 15:31 3.293 tm.ini 03.04.2006 15:26 118 tdf.dii 30.03.2006 15:46 8.415 cdplayer.ini 27.03.2006 10:47 243 BUHL.INI 27.03.2006 10:42 35 Ulead32.INI 24.03.2006 16:17 2.510 Microsoft.MIF 24.03.2006 16:17 2.464 $_hpcst$.hpc 23.03.2006 17:03 0 muveeapp.INI 23.03.2006 16:05 1.071 AWMODEM.INF 23.03.2006 14:10 286 wmsetup10.log 22.03.2006 10:22 400 ODBC.INI 22.03.2006 10:20 0 Sti_Trace.log 22.03.2006 10:13 6 msoffice.ini 22.03.2006 10:07 345 OEWABLog.txt 22.03.2006 10:07 134.960 setuplog.txt 22.03.2006 10:04 1.154 sessmgr.setup.log 22.03.2006 10:04 508 DtcInstall.log 22.03.2006 10:03 1.416 regopt.log 22.03.2006 09:56 0 setuperr.log Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: F845-9504 Verzeichnis von C:\ 18.04.2006 11:42 0 sys.txt 18.04.2006 11:42 7.081 system.txt 18.04.2006 11:42 486 systemtemp.txt 18.04.2006 11:42 105.534 system32.txt 18.04.2006 11:14 1.072.156.672 hiberfil.sys 18.04.2006 11:14 1.610.612.736 pagefile.sys 18.04.2006 11:12 3.185 smitfiles.txt |
Hallo, nicht ganz, lösche noch folgende Dateien mit killbox on reboot: C:\Windows\System32\interf.tlb C:\Windows\System32\dfrgsrv.exe Dann sollte es das gewesen sein wenn du keine Beschwerden mehr hast. Grüße Wildone |
Denke, hat geklappt... RF |
Ich habe ein großes Problem es ist der Trojana TR/Zlob.IT.3 auf meinen PC! :( Er hat sich folgendermaßen aufmerksam geamcht : Es kamen zwischendurch einfach werbungen und so wurde ich zb aus dem spiel gekickt das ich gerade gespielt habe... oder unten in der leiste kam ein popup und so ne warnung die mich zu einem link gefürht haben.. Nun weiß ich jetzt nicht wie ich die von meinem PC bekomme.. habe mir zwar dieses Forum genauer angeschaut nur ich verstehe 1, 2 sachen nicht! Da ich jetzt auch kein computer experte und noch recht jung bin und die vieren sich auch nicht mit antivir wegmachen lassen , weiß ich jetzt nicht weiter :( Bitte um eure hilfe!!! Pfanne PS:ich endschuldige mich jetzt schon einmal für meine rechtschreibung ;) |
Hallöchen Ich habe mit diesem Trojaner ebenfalls meine Probleme. Ich habe nun den Hijackthis Scan gemacht, welche Dateien muss ich da löschen??? Danke für eure Hilfe! LG Jessie Logfile of HijackThis v1.99.1 Scan saved at 16:34:17, on 04.08.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Tamara Harder\Desktop\HijackThis.exe c:\windows\system32\VundoFix.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll (file missing) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [VoipBuster] "C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{0714FB4F-20E0-46CF-BE60-799F8C6FB610}: NameServer = 85.255.113.115,85.255.112.70 O17 - HKLM\System\CCS\Services\Tcpip\..\{776D04DF-88D8-4DF8-9115-C94F37050EED}: NameServer = 85.255.113.115,85.255.112.70 O17 - HKLM\System\CS1\Services\Tcpip\..\{0714FB4F-20E0-46CF-BE60-799F8C6FB610}: NameServer = 85.255.113.115,85.255.112.70 O17 - HKLM\System\CS2\Services\Tcpip\..\{0714FB4F-20E0-46CF-BE60-799F8C6FB610}: NameServer = 85.255.113.115,85.255.112.70 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
@Tamara Harder Was bewegt Dich, zu sagen, dass Du das gleiche Problem hast? Wenn dem wirklich so ist, kannst Du die Lösung dem Thread entnehmen. Sollte dem nicht so sein, und davon gehe ich aus, eröffne einen neuen Thread und schildere Dein Problem. Beachte dazu: http://www.trojaner-board.de/extra/impressum.html#NUB |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board