|
hallo, hab das so gemacht, wie du angegeben hast. der neue scan von spybot hat keine spione gefunden. hab gzmrotate gelöscht - nach dem neustart im normalen modus kam folgende meldung: RUNDLL Fehler beim Laden von C:\Windows\system32\gzmrotate.dll Das angegebene Modul wurde nicht gefunden was mach ich jetzt??? danke!! |
Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) |
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "Norton SystemWorks" = ""C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz" ["Symantec Corporation"] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "Disk Monitor" = "C:\Programme\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" ["Neodio Corp."] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"] "CloneCDElbyCDFL" = ""C:\Programme\Musikprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "hid_start" = "C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify" [MS] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}\(Default) = "SWEETIE" -> {HKLM...CLSID} = "SWEETIE Class" \InProcServer32\(Default) = "C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll" ["Macrogaming"] {36A91CEC-6C71-4758-B492-397BFC8E96A2}\(Default) = (no title provided) -> {HKLM...CLSID} = "rightonadz.biz browser optimizer" \InProcServer32\(Default) = "C:\WINDOWS\system32\gzmrotate.dll" [file not found] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = "Windows Live Sign-in Helper" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS] {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper" -> {HKLM...CLSID} = "CNavExtBho Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {HKLM...CLSID} = "DesktopContext Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {HKLM...CLSID} = "Desktop Explorer" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {HKLM...CLSID} = "nView Desktop Context Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {HKLM...CLSID} = "NVIDIA CPL Extension" \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "PhoneBrowser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" = "All To WMA Converter" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> {HKLM...CLSID} = "CloneCD Shell Extension" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ "WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}" -> {HKLM...CLSID} = "WPDShServiceObj Class" \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WMAShellExt\(Default) = "{75E6139C-7EC4-11D5-8D0F-A07CD97BF970}" -> {HKLM...CLSID} = "WMAExt Class" \InProcServer32\(Default) = "C:\Programme\Musikprogramme\All To WMA Converter\WMAShellExt.dll" [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}" -> {HKLM...CLSID} = "IEContextMenu Class" \InProcServer32\(Default) = "C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoActiveDesktop" = (REG_BINARY) hex:00 00 00 00 {Disable Active Desktop} "NoSaveSettings" = (REG_DWORD) hex:0x00000000 {Don't save settings at exit} "ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Chiligreen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" |
Gehe wiefolgt vor Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll O2 - BHO: rightonadz.biz browser optimizer - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - C:\WINDOWS\system32\gzmrotate.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O3 - Toolbar: (no name) - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - (no file) O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [hid_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrotate.dll" DllVerify O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\Programme\Macrogaming (Ordner) C:\WINDOWS\system32\nsv26.dll Dann starte den Rechner im normalen Modus neu und poste ein neues HJT Logfile. |
hallo, ich hab von deiner liste folgende dateien nicht: O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll O2 - BHO: ads_optimizer - {26E45419-7205-4fac-BBFE-174BC7337A79} - C:\WINDOWS\system32\nsv26.dll O4 - HKLM\..\RunOnce: [SpybotDeletingA905] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKLM\..\RunOnce: [SpybotDeletingC6182] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingB2237] command /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" O4 - HKCU\..\RunOnce: [SpybotDeletingD4491] cmd /c del "C:\Programme\Internet Explorer\msimg32.dll_tobedeleted_old" soll ich jetzt einfach die dateien auswählen, die vorhanden sind und so verfahren, wie du geschrieben hast?? |
Du meinst die Einträe im HJT Log? |
ja, ich soll die doch anklicken und anschließend auf fix checked klicken... bei dieser liste gibt es die dateien nicht, die ich dir gepostet hab... |
ok, wenn was fehlt, nicht schlimm, poste ein abschließendes HJT Logfile |
hab gerade auf fix checked geklickt, dann kam diese meldung: SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Kategorie: Internet Explorer searches Änderung: Wert hinzugefügt Eintrag {CFBFAE00-17A6-11D0-99CB-00C04FD64497} er fragt, ob ich diese "Neuen Daten" erlauben oder verweigern soll drunter ist noch ein kästchen mit "merke diese entscheidung" - soll ich das anhaken? ich hab mir gedacht, ich frag besser vorher nach, da es ja was mit der registrierung ist... |
Mein Fehler, deaktivere den Tea Timer bevor Du diese Einträge fixed. |
hier das HJT Logfile: Code: Logfile of HijackThis v1.99.1den ordner hab ich gelöscht, die andere datei war nicht vorhanden. nach dem neustart im normalen modus kam folgende meldung: SpyBot hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde. Kategorie: SystemStartup global entry Änderung: Wert gelöscht Eintrag: hid_start Alte Daten: C:\Windows\System32\Rundll32.exe "C:\Windows\System32\gzmrotate.dll" DllVerify ich hab das fenster noch offen - soll ich jetzt erlauben oder verweigern? danke!! |
Doch etwas mehr als nur Adware :( Deaktiviere den Tea Timer! Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing) O2 - BHO: (no name) - {26E45419-7205-4fac-BBFE-174BC7337A79} - (no file) O2 - BHO: (no name) - {36A91CEC-6C71-4758-B492-397BFC8E96A2} - (no file) O2 - BHO: (no name) - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - (no file) O2 - BHO: (no name) - {54F33362-1828-4181-9CC7-4BC727C38B78} - (no file) O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - h**p://l00kl23.com/default.cab?uid=54&id=51295&1s&ex&ppd=4&tag=32 O18 - Filter: text/html - (no CLSID) - (no file) Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://virus-protect.org/artikel/bilder/avanger.png 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Code: Files to delete: http://virus-protect.org/artikel/bilder/avenger4.png 4.) Danach das System unverzüglich neu starten lassen 5.) lösche das backup vom Avenger unter Avenger\backup.zip + Papierkorb leeren 6.) Poste den Inhalt der C:\avenger.txt Datei in ein [code]Der Inhalt Deines Logs hier :) [/code] |
Zitat:
soll ich hier wieder auf fix checked klicken? |
Zitat:
|
hab grad auf die grüne ampel im avenger geklickt, dann ist folgende meldung gekommen: Fatal error: could not create new script file hab auf ok geklickt (gab keine andere auswahlmöglichkeit), dann kam das hier: Error Code: 0 Error logged to errorlog.txt. Aborting now! drunter kann ich auf ok klicken was mach ich jetzt? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board