|
TR/Dldr.Keenval.B.3 Hallo ihr lieben, ihr könntet meine große Rettung sein. Ich bin nur eine blöde Studentin :crazy: , die von Computern nicht sooo viel Ahnung hat. Mein Virenscanner (AntiVir version6) hat nun ein trojanisches Pferd erkannt, dass aber nicht gelöscht werden kann,w eil es sich in einem sogenannten Archiv befindet. (Typ CAB). Ich kann diese Datei auch nicht selbst löschen. ich habe ausserdem adaware(findet das Pferd aber nicht). Was braucht ihr sonst noch für Angaben, um mir evtl helfen zu können? Ich hab Windows ME drauf. Das Pferd befindet sich in einer Datei in "_Restore/Archive". Fragt einfach nach (bitte in Normalsprache - ich versteh teilweise gar nicht, wovon computercracks reden :heulen: ) Ich wäre euch sehr dankbar wenn ihr mir irgendwie helfen könnt. hab hier ein bißchen quergelesen und Hijackthis jetzt runtergealden. Ich hab so nen scan gemacht. was soll ich da unkenntlich machen? kann das dann ja hier reinkopieren (aber will vorher sichergehen, dass ich nicht was hier reinkopier was keiner lesen sollte) Vielen Dank wem auch immer, der sich meiner erbarmt und mir helfen kann. Liebe Grüße, Dani |
Hallo Dani, deaktiviere zunächst mal wie hier beschrieben: http://www.bsi.de/av/texte/wiederher_me.htm die Systemwiederherstellung. Starte dann den Rechner einmal neu und aktiviere sie wieder, damit sollte zumindest diese Meldung bzw. der grund dafür weg sein. Dann kopierst du das Log von Hijackthis bitte herein, du kannst persönliche Daten unkenntlich machen, wobei es sich hier eigentlich lediglich um deinen Namen handeln könnte, etwa bei der Pfadangabe C\eigenedateien\dein_name\ oder so. Wobei wir die Hälfte davon ja vielleicht schon wissen. :) Ansonsten bitte nichts weiter unkenntlich machen und den gesamten inhalt kopieren. |
Ich bins gleich nochmal. hab das jetzt mal durchgekuckt und da sah nix nach passwort aus und ausserdem hab ich beim hier querlesen gesehen, dass die meisten das auch einfach reinkopieren... richtig krass, das seh ja sogar ich, ist, dass da so "sexzeug" dabei ist. Ich bin NIE auf Sexseiten. Wie kommt sowas? (Vielleicht war ein Freund oder Bruder, der am Rechner war ja ohne mein Wissen? :koch: ) Logfile of HijackThis v1.98.2 Scan saved at 01:42:21, on 26.09.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\MSN APPS\UPDATER\01.02.0000.2693\DE\MSNAPPAU.EXE C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE C:\PROGRAMME\1&1 INTERNET\PROFI-DIALER\PROFIDIALER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\TEMP\TD_0003.DIR\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0000.2693\en-xu\stmain.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Updater] "C:\Programme\MSN Apps\Updater\01.02.0000.2693\de\msnappau.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://TryToImproveSecurity.com/fa/x.chm::/load.exe O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253 so. um ehrlich zu sein weiß ich gar nicht, was das jetzt genau ist, dieses log. wenn ich etwas machen soll, dann gebt mir bitte genaue anweisungen. ich hab echt keine ahnung... Vielen Dank, Daniella |
Vielen Dank Mountain King. das probier ich gleich mal. hoffentlich stell ich mich nicht doof an. lol. mir ist das ja ein Rätsel wie ihr euch alle mit dem zeug so gut auskennen könnt... allergrößten respekt echt. bis bald dani |
so. hab das getan. jetzt wieder aktiviert. (was hat das denn nun gebracht?) naja. ich muss es ja nicht checken solang wir dieses mistding wegbringen. den virenscan mach ich jetzt nicht nochmal gleich oder?oder soll ich? sollte das pferd dann nicht mehr auftauchen? werds evtl morgen machen. is ja schon später jetzt... u.wart mal ab was du(ihr) zu dem log sagt.. Vielen Dank für deine Hilfe. :huepp: daniella |
NIIIIIIIEEEEEMAND geht je auf Sexseiten!! ;) Das Log gibt uns einen Überblick über gestartete Programme und bestimmte Einstellungen, die mit dem IE zu tun haben, da kann man einige Schädlinge erkennen und erhält wichtige Informationen über dein System, da wir ka leider nicht vor deinem Rechner sitzen. :) Soooooo, dann wollen wir mal. Zunächst mal entpacke Hijackthis in ein eigenes Verzeichnis und starte es von dort aus, denn so erstellt das Programm einen Backup-Ordner zur Sicherheit, da kannst du alles wiederherstellen bei Problemen. Besorge dir dann dieses Programm: http://www.cexx.org/lspfix.htm Ist nur zur Sicherheit, falls irgendwas mit dem Netz dann nicht gehen sollte, kannst du das verwenden, dürfte aber nichts passieren. E-Scan herunterladen und wie beschrieben updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://TryToImproveSecurity.com/fa/x.chm::/load.exe O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yah.../ymmapi_416.dll O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab Boote in den abgesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Edit: Der Restore-Ordner sollte jetzt leer sein und die entsprechende Datei darin verschwunden, ja. |
oh, das ist super!!! sogar "fast" verständlich für mich. eine frage hab ich noch: was ist genau "entpacken" da steht was von winzip und winwar. ich hab beides nicht auf dem PC. aber müsste doch irgendsowas haben. wie entpck ich das?soll ja hijackthis und dann escan entpacken. wie ghet das? sorry wenn die fragen allzu blöd klingen. lol Liebe Grüße, :bussi: dani PS: Ich bin tatsächlich nie auf sexseiten.lol |
hm. also ich hab winzip heruntergeladen. aber wie ich jetzt entpcke weiß ich trotzdem nicht so recht. probier noch ein bißchen rum. vielen dank erstmal. schau morgen wieder vorbei. Daniella |
nochmal ich.... also, auf der URL die du mir für escan gegeben hast, steht, ich solle die datei mwav.exe entpacken in c:/bases???? :confused: also, deine erklärungen waren wunderbar, die auf der seite lassen für nullchecker wie mich zu wünschen übrig. also c:/bases. was ist das? unter c: hab ich keine "bases"... oh je, ist es arg schlimm mit meiner nichtahnung??? und dieses mwav. exe. naja, ich versuch das runterzuladen, aber da kommt "can't create outoputfile :c:/windows/Temp/ipc.dll" ich versteh nix mehr. ok, jetzt hab ichs "auf dem PC speichern"runtergeladen. hab das "extrahieren gecheckt". *freu* habs jetzt unter C:/programme. ist das denn richtig? oder wie is das mit bases? also ich schau morgen nochmal rein und mach dann weiter. Vielen Dank. Gute Nacht, daniella |
hahahaha :huepp: werd ja noch zum checker noch hier...lol hab jetzt escan aktualisiert, sehr cool!!! war gar nicht so schwer. also, jetzt werd ich also den rest versuchen. sollte jetzt aber echt mal ins bett und morgen weitermachen. gute nacht zum 100.Mal daniella |
so, nun zum allerletzten Mal für heute Nacht. Also, wie meinst du das mit "lösche die in den Einträgen genannten Dateien"? sind die nicht durch highjackthis dann gelöscht? also, da hab ich das gemacht wie du gesagt hast. dann hab ich im abgesicherten modus gebootet und wustte dann aber nicht , was ich jetzt genau machen sollte. wollte dieses escan laufen lassen, aber da hat wohl auch was noch nicht gescnackelt in meinem Kopf... ach ich idiot. muss mwavscan.com dann finden und kann damit scannen, richtig? na das hab ich leider im abgesicherten modus nicht gecheckt. kann ich das morgen einfach wieder machen oder muss ich nochmal bei highjackthis fixen bevor ich reboote? dann wär ich ja schon fast fertig und kann die escanergebnisse und ein neues log reinstellen. Liebe Grüße. jetzt geh ich echt schlafen. daniella |
Zitat:
Du stellst ja eh nochmal ein Log-File rein und dann wird man sehen, ob wieder alles sauber ist. |
hi. ich hab das jetzt mal gemacht. bin mir aber nicht sicher. hatte irgendwie doch die alte version von escan, das mit dem aktualisieren hat also aus irgendeinem grund nicht geklappt. also, das ist mein log von escan: moment, das schick ich gleich.......... mein neues hijackthislog: Logfile of HijackThis v1.98.2 Scan saved at 15:32:20, on 26.09.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\LOGITECH\VIDEO\LOGITRAY.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\MSN APPS\UPDATER\01.02.0000.2693\DE\MSNAPPAU.EXE C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE C:\PROGRAMME\1&1 INTERNET\PROFI-DIALER\PROFIDIALER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\HIJACKTHIS1982[1]\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0000.2693\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_12_0.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.0000.2693\DE\MSNTB.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Updater] "C:\Programme\MSN Apps\Updater\01.02.0000.2693\de\msnappau.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28578.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253 ziemlich lang diesmal...alles ok da drin???? hallo, was geht????? hab bei c:/ jetzt dateien z.B. mit namen trojan.avc und pornware.avc was geht jetzt? und plötzlich hab ich so ein "bases" ordner und da ist aber auch das gleiche drin, also z.b. trojan.avc also jetzt krieg ich langsam angst... seid ihr auch sicher liebe leute, die einem helfen wollen und einem nicht nur helfen, noch mehr shit draufzumachen? hilfeeeeeeeeee |
ein freund sagte mir jetzt ich solle den kostenlosen scan bei www.pandasoftware.com machen. der würde alles finden und löschen. das probier ich jetzt auch mal. was haltet ihr davon? Verdammte Scheiße. Ich muss ne hausarbeit schreiben und mein PC muss so n shit haben jetzt.... liebe grüße daniella |
Kein Virenscanner findet alles ... :blabla: Wenn die MSN-Toolbar gewollt installiert ist, sehe ich eigentlich nichts beunruhigendes in deinem Log. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board