|
Umleitung Ein hoffnungsvolles Hallo an alle UMLEITUNGSGENERVTEN!Seit etwa 3 Monaten wird meine Google-Suche sporadisch zu einer Website mit dem Namen:spywareagency.com umgeleitet.Merkwürdig ist aber,dass es diese Seite lt.Google-Suche gar nicht gibt!Hijack-scan und regedit.sowie alle einschlägigen Viren-und Spywarescanner finden auch nicht's. Kennt jemand das Problem? Danke im Voraus...:schmoll: |
Poste bitte das komplette Logfile. |
Was ich mal hatte, war das der Router ab und an ma sich dazwischen gefunkt hatte *sitecom*. und man statt auf die gewuenschte Seite auf www.sitecom.com gelandet ist.... hab mir dann die neue firmware fuer den router gezogen und seitdem is Ruhe :D |
Hallo Sonybuddy, das mag in deinem Fall vielleicht geholfen haben,was ich aber noch bezweifle...;) Hat mit dem Problem von Ursulaner nichts zu tun.Ohne Kenntnis seines Log`s ist das nur Raten,Weissagen oder Hellsehen...:D Irrlicht |
es hat geholfen, hab bei sitecom direkt angefragt, was der quatsch soll, und die haben mir dann prompt ne antwort geschickt mir direktlink auf die neue firmware :daumenhoc: |
Hallo Freunde,hier mein LOG(wenn's was bringt!?)Mist,habe das Hijack.Log unter -eigene Dateien gespeichert-aber bei-Anhänge verwalten-hochladen bekomme ich eine Fehlermeldung.(mache das auch das erste mal)gebt mir doch bitte den Hinweis wie ich mein Log poste.Danke an alle! |
Zitat:
Nachdem du den Scan gemacht hats, sollte sich eine Text Datei öffnen, einfach alles Makieren, Rechte Maustaste, Kopieren und hier in einer Antwort einfügen. Ganz einfach! |
Logfile of HijackThis v1.99.1 Scan saved at 11:08:18, on 23.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) DANKE MELLOSUN:kloppen: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\sabi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Consola KIT ADSL.lnk = C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147125262522 O17 - HKLM\System\CCS\Services\Tcpip\..\{2447AC71-7C56-4F96-865F-3FC976F10168}: NameServer = 85.255.115.116 85.255.112.169 O17 - HKLM\System\CS1\Services\Tcpip\..\{2447AC71-7C56-4F96-865F-3FC976F10168}: NameServer = 85.255.115.116 85.255.112.169 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing) |
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 8.exe Bitte mal bei Jotti oder Virustotal auswerten lassen. Finde unterschiedliche Meinungen, könnte der Swissors sein. Oder sollte ich mich da täuschen? Gruß Mellosun |
Hallo, Zitat:
Das Problem wird der ukrainische Provider sein. Blacklight downloaden und das Logfile hier posten. Gruß Schrulli |
und nu'?bin fast am Verzweifeln,kriege weiterhin bei Google nur 50% der Seiten die ich auch haben will,ansonsten:Jottis Malwarescan 2.99-TRANSITION_TO_3.00-R1 Datei, die hochgeladen und gescannt werden soll: Dienst Datei: hijackthis.log Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Powered by Disclaimer Durch das Hochladen von Dateien auf diesen Server stimmen Sie zu, dass ihre Dateien lokal gespeichert werden. Ferner: Dieser Dienst ist keineswegs hundertprozentig sicher. Falls der Scanner ein 'OK' gibt, bedeutet das nicht notwendigerweise, dass die Datei sauber ist. Es könnte ein völlig neuer Virus auf freiem Fuß sein! Verlassen Sie sich niemals auf ein einzelnes Produkt alleine, selbst auf diesen Dienst nicht, obwohl er mehrere Produkte einsetzt. Für Schäden, die durch diesen nichtkommerziellen Online-Dienst verursacht wurden, bin ich daher nicht verantwortlich, noch kann ich dafür verantwortlich gemacht werden. Ich bin mir auch über die Folgen einer Einrichtung wie dieser im klaren. Ich bin mir sicher, dass diese ganze Geschichte keinesfalls wissenschaftlich korrekt ist, da dies ein vollautomatischer Dienst ist (obwohl eine manuelle Korrektur möglich ist). Ich bin mir zum Beispiel bewußt, dass "False Positives" (ein Fehlalarm, bei dem eine saubere Datei irrtümlich als Virus detektiert wird) auftreten könnten, trotz der Anstrengungen, diesen proaktiv zu begegnen. Ich halte das nicht für eine große Sache, also schicken Sie mir bitte keine Emails über solche Vorkommnisse. Dies ist ein einfacher Onlinescanner, und nicht die Universität von Magdeburg. Die Virensignaturen werden jede Stunde aktualisiert. Das Dateigrößenlimit beträgt 15 MB pro Datei. DIE MISSBRÄUCHLICHE NUTZUNG DIESES DIENSTES (EINSCHLIESSLICH DES HOCHLADENS ABSICHTLICH MODIFIZIERTER -GEPACKTER/VERSCHLÜSSELTER/BYTESWAPPED- VERSIONEN DER GLEICHEN DATEI) HAT ZUR FOLGE, DASS IHRE IP GESPERRT WIRD. Bitte fordern Sie keine dieser Viren an, wenn Sie nicht für Hersteller von Anti-Viren-Software arbeiten. Viren sind nicht zum Tauschen da. Das Scannen kann eine Weile dauern, da mehrere Scanner benutzt werden. Zudem nutzen einige Scanner eine sehr hohe Heuristikstufe (was zeitaufwendig ist). Die benutzten Scanner sind Linuxversionen, und es können sich (oder auch nicht) Unterschiede zu Windowsscannern ergeben. Noch eine Anmerkung: manche Scanner detektieren nur einen Virus, wenn Archive mit mehreren Malwaredateien gescannt werden. Gefördert durch Spenden (in willkürlicher Reihenfolge) von: Stormbyte Technologies LLC, The ClamAV project, James Love, Gideon Pertzov, Malcolm Murray, Nigel Thomas, Wendy Dickerson, Anthony Midmore, "ethereal", Mark Rubins, Steve S., Eric Johansen, Eric Schechter, Paul Bokel, Wilders Security, Wilfried Lilie, Prevx, SonicWALL, Lance Mueller, Ewido networks, und einigen Leuten, die es vorziehen, anonym zu bleiben... Vielen Dank an alle! Statistik Zuletzt gefundene Malware war important-details.zip, gefunden von: Scanner Name der Malware AntiVir Worm/Mytob.bi.2.1 ArcaVir Worm.Mytob.Bi Avast Win32:Mytob-LD AVG Antivirus I-Worm/Mytob.YK BitDefender Win32.Worm.Mytob.BI ClamAV Worm.Mytob.HX Dr.Web BackDoor.DarkMoon.66 F-Prot Antivirus W32/Mytob.KR@mm Fortinet W32/MyTob.KR@mm Kaspersky Anti-Virus Net-Worm.Win32.Mytob.bi NOD32 Win32/Mytob.EN Norman Virus Control W32/Mytob.OF UNA X VirusBuster I-Worm.Mytob.LB VBA32 Net-Worm.Win32.Mytob.bi Es steht Ihnen frei, diese automatisch generierten, ungültigen Statistiken (falsch) zu interpretieren. Für Vergleichstests von Anti-Viren Software, besuchen Sie AV comparatives. Häufig gestellte Fragen (FAQ) - Feedback/Kommentare/Fragen/Fehlalarme (bitte ausschließlich auf Englisch) Copyright (C) Jordi Bosveld 2004-2005 Deutsche Übersetzung von Schrott!!! |
Hallo, ich weiß ja nicht, was Du gerade gemacht hast und warum Du das HJt log gesannt hast, lade Dir Blacklight und poste das Log hier. Gruß Schrulli |
Hey Schrulli, habe mit Blacklight onlinescan gemacht,da gab es aber kein Log,sondern zum Schluss die Aussage:keine Viren gefunden! Aber sag' mal,wo vermutest Du einen ukrainischen Provider? |
Hallo, Zitat:
Lade Dir Rootkit Revealer und poste dessen Log hier. Gruß Schrulli |
Hallo Ursulaner, Zitat:
Eine unumstößliche tatsache trifft es besser Aber schau selbst mal.....hier ist die Abfrageseite : http://www.iks-jena.de/cgi-bin/whois Auf der Seite gibst du die Nummer ein die dir Schrulli gezeigt hat.Aber nur eine,achte auf das Komma dazwischen. Als Ergebnis sollte die Firma "Imhoster Company" rauskommen,wohnhaft sind sie in der Ukraine.Steht alles dabei :eek: :aplaus: Werneeeer,die Russen kommen :aplaus: Irrlicht |
hallo Irrlicht, tut mir leid euch evtl.zu nerven,ich bin kein Profi wir Ihr,aber wo ist da ein Komma?Und welche Nummer ist gemeint? Sei so nett und hilf mir!:crazy: |
Folge mal dem Link: http://www.ripe.net/perl/whois/?form..._search=Search Unser allseits geliebter Andrei Kislizin. @Irrlicht, dass mit dem Werner war falsch. Nicht die Russen kommen sondern die Ukrainer. Mehr sage ich jetzt nicht, sonst kriege ich haue. Sage hier nichts gegen Ukrainer:aplaus: |
@Ursulaner gehe bitte wie folgt vor: 1. Lade dir Fixwareout runter. Fixwareout.exe --> next --> Install --> Run fixit --> Finish Danach startet der PC neu. 2. Scanne dein System wie von Schrulli empfohlen mit dem Rootkit Revealer. Poste das Log vom Rootkitrevealer und von Fixwareout (letzteres solltest du hier finden: C:\fixwareout\report.txt) |
Hola Felix1,habe gemacht wie Du gesagt hast,und.......Irrlicht hat recht! Nur,wie werde ich diesen,,Beutegermanen''(Russen)wieder los? die tcpip fixen geht nicht,dann läuft nichts mehr,weisst Du Rat? |
O.K.Cronos,hier ist das Resulta Fixwareout ver 1.003 Last edited 04/26/2006 Post this report in the forums please Reg Entries that were deleted ... Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Example ipsec6.exe is lagitamate »»»»» Search by size and names... »»»»» Misc files »»»»» Checking for older varients covered by the Rem3 tool »»»»» Search five digit cs, dm and jb files This WILL/CAN also list Legit Files, Submit them at Virustotal :heulen: t von Fixwareout,und was sagt Dir das? |
Fixe den bei dir vorhanden 017-Eintrag. Nach dem Neustart löschst du deine alte Internetverbindung und legst eine neue an. Das Log vom Rootkitrevealer wäre noch interessant. |
Hallo Cronos,die 017er Einträge habe ich gefixt,sind aber nach dem Neustart wieder da!? |
Hallo Ihr lieben IT-Experten, auch ich habe das Problem!!! @cronos Habe Fixwareout geladen und nu kommts Zum Schluss sagt mir das Programm DLL Datei MSVBVM60.DLL konnte nicht gefunden werden???:eek: Und nu???? Wie kann ich das Problem lösen? Danke schon mal jetzt für wertvolle Info u. Hilfe LG Maja |
@ Ursulaner Ich vergaß zu erwähnen, dass du diese Einträge , wenn möglich im abgesicherten Modus fixen mußt. Melde dich dann wieder, obs geklappt hat. @ Majabel Das einfachste fürs weitere Procedere: Eigenen Thread erstellen. Problem beschreiben und einen HJT-Log mitliefern. Man verzeihe mir die fehlende Verlinkung - sitze aber jetzt am PC vom Schwiegervater habe gerade nicht alle Links zur Hand und auch überhaupt nicht die Muße sie zu ergoogeln, sprich : Ich bin zu faul! |
guten morgen Cronos, mit dem abgesicherten Modus summieren sich die Probleme,da kann ich überhaupt nicht's mehr machen weil da die Maus nicht reagiert.Fixe ich den 017er Eintrag,fliege ich kurz darauf aus dem Internet(Seite kann nicht angezeigt werden!)es ist zum Verzweifeln!:headbang: |
Hallo, ich bin nicht Papst und von Glaskugeln halte ich nichts, mir fehlt immer noch ein Rootkit Revealer Log. Alle Deine Probleme resultieren imho aus einem gekaperten System, welches schon läänger neu aufgesetzt gehört. Gruß Schrulli |
Hallo Ursulaner, Zitat:
Ernsthaft : Im abgesicherten Modus werden nur die allernötigsten Dienste geladen.Deine Maus gehört nicht dazu.Das ist normal so. Irrlicht Nachsatz Zitat:
Aber wie ich einer großen überregionalen Tageszeitung entnehmen konnte, sind WIR Papst :blabla: |
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44ce7207.qua 25.6.2006 13:21 10.15 KB Hidden from Windows API. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\44ce720c.qua 25.6.2006 13:22 10.15 KB Hidden from Windows API. C:\Programme\Spamihilator\SPA71.tmp.log 31.10.1662 21:34 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Programme\Spamihilator\SPA72.tmp.log 31.10.1662 21:34 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Programme\Spamihilator\SPA83.tmp.log 25.6.2006 13:20 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Programme\Spamihilator\SPA84.tmp.log 25.6.2006 13:20 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Programme\Spamihilator\SPA91.tmp.log 25.6.2006 13:27 313 bytes Hidden from Windows API. C:\Programme\Spamihilator\SPA92.tmp.log 25.6.2006 13:27 573 bytes Hidden from Windows API. C:\Programme\Spamihilator\SPA93.tmp.log 25.6.2006 13:28 0 bytes Visible in directory index, but not Windows API or MFT. C:\Programme\Spamihilator\SPA94.tmp.log 25.6.2006 13:28 0 bytes Visible in directory index, but not Windows API or MFT. C:\System Volume Information\_restore{C7B70CAF-B613-4F02-BA8E-A65DA0B343B4}\RP34\A0007748.exe 6.5.2006 11:37 9.75 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{C7B70CAF-B613-4F02-BA8E-A65DA0B343B4}\RP34\A0007752.exe 6.5.2006 11:37 9.75 KB Visible in Windows API, but not in MFT or directory index. O.K.Schrulli,und nu' ? |
Hallo, ist nicht zu entdecken, erstaunlich eigentlich. Poste mal ein Log von Silentrunners. Grüße Wildone |
Hola Wildone,ich habe gemerkt dass beim,,Nüsseknacken''doch etliche auf der Strecke bleiben!schau'n wir mal:(danke!)"Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "Spamihilator" = ""C:\Programme\Spamihilator\spamihilator.exe"" ["Michel Krämer"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Share-to-Web Namespace Daemon" = "C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "HP Software Update" = "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [null data] "HPDJ Taskbar Utility" = "C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe" ["HP"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {HKLM...CLSID} = "Portable Media Devices" \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band" -> {HKLM...CLSID} = "Shell Search Band" \InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ "System" = (value not set) HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "D:\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ IMMenuShellExt\(Default) = "{F8984111-38B6-11D5-8725-0050DA2761C4}" -> {HKLM...CLSID} = "IMMenuShellExt Class" \InProcServer32\(Default) = "C:\Programme\IncrediMail\bin\IMShExt.dll" ["IncrediMail, Ltd."] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] Default executables: -------------------- HKLM\Software\Classes\.hta\ = (key not found) INFECTION WARNING! HKLM\Software\Classes\htafile\shell\open\command\(Default) = "mshta.exe "%1" %*" [MS] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\sabi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssmyst.scr" [MS] Startup items in "sabi" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Consola KIT ADSL" -> shortcut to: "C:\Programme\Telefonica\Kit ADSL USB\DSLMON.exe" [empty string] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] Enabled Scheduled Tasks: ------------------------ "1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" [file not found] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = "hpzsnt08.dll" ["HP"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 37 seconds, including 12 seconds for message boxes) |
Nur ein Nachtrag,ich denke die Mehrzahl der heutigen PC-Benutzer sind ganz einfach überfordert,und das in allen Belangen und Möglichkeiten der modernen elektronischen Kommunikation. Wir ,,Durchschnittskonsumenten''sind doch schon mit einem modernen Handy ausgelastet,der PC hat heutzutage eine Dimension erreicht,welcher(Internet und B.Gates sei Dank)nur noch halbwegs störungsfrei mit EURER Mithilfe auf diesem Board zu handlen ist. Da helfen keine philophischen Sprüche,sondern allgemeinverständliche Anleitungen(Ratschläge,Hinweise usw.) Aber,danke an alle die sich sachlich Mühe geben...jetzt gehe ich schlafen(ist auch schon 3 Uhr in der früh):) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board