hi,
hier ist das hijack-log, kann man da was sehen?
Logfile of HijackThis v1.97.7
Scan saved at 11:10:45, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\BackWeb-154149.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Mozilla Firefox\components\talkback.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4069374991
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 1689351852
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
grüsse, sve
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
laptop läuft langsam, mails lassen sich kaum verschicken :-(
9 Beiträge • Seite 1 von 1
von Nikita am 19.11.2004, 14:23
Hallo@svister
lade bitte das aktuelle HijackThis:
HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
Abgesehen davon:
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
ist der PC (aeusserlich) sauber.
Ich weiss aber nicht, welche Malware du schon mit dem P2P mitgeladen hast...deshalb:
ueberpruefe:
<C:\WINDOWS\System32\RegSrvc.exe
<C:\WINDOWS\System32\1XConfig.exe
http://virusscan.jotti.dhs.org/ - im Text wird zu Recht darauf hingewiesen, daß dieser Test keine 100%ige Garantie gibt, da es immer wieder passieren kann, daß neue malware noch nicht erkannt wird und fälschlicherweise als OK bezeichnet wird
* auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist...
.........................................................................................................
#eScan-Erkennungstool
<Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten, bzw
die Dateien im abgesicherten Modus loeschen
mfg
Nikita
lade bitte das aktuelle HijackThis:
HijackThis:
http://www.downloads.subratam.org/hijackthis.zip
Abgesehen davon:
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
ist der PC (aeusserlich) sauber.
Ich weiss aber nicht, welche Malware du schon mit dem P2P mitgeladen hast...deshalb:
ueberpruefe:
<C:\WINDOWS\System32\RegSrvc.exe
<C:\WINDOWS\System32\1XConfig.exe
http://virusscan.jotti.dhs.org/ - im Text wird zu Recht darauf hingewiesen, daß dieser Test keine 100%ige Garantie gibt, da es immer wieder passieren kann, daß neue malware noch nicht erkannt wird und fälschlicherweise als OK bezeichnet wird
* auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist...
.........................................................................................................
#eScan-Erkennungstool
<Das eScan AV Toolkit (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten, bzw
die Dateien im abgesicherten Modus loeschen
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
oh jeh...
von svister am 19.11.2004, 22:00
also habe alles erledigt.
1. die beiden .exe files waren sauber, zumindest hat der scan nichts entdeckt
2. der e-scan hat den virus trojanDownloader.win32.keenval.f gefunden. (eigentlich hat er 14 viren gefunden, die einträge scheinen mir aber alle damit zusammenzuhängen, es geht immer um `adware backWeb.a´)
ich habe bisher nicht dagegen unternommen, wusste nicht was...
3. es gibt ein programm das nennt sich full circle quality feedback, das startet jedesmal mit dem firefox, dann geht immer ein fenster auf da steht was von talkback.mozilla.org/spiral-bin/collectot.dll
4. hier nochmal das hijack log
Logfile of HijackThis v1.98.2
Scan saved at 20:56:35, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\BackWeb-154149.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4069374991
was nun??
vielen dank und viele grüße, sven und maren
ps.: wenn du meine letzten hilferufe verfolgt hast, wunderst du dich vermutlich schon, dass ich immer wieder mit neuen problemen ankomme, aber es spricht sich rum,wenn man jemanden hilft und dann kommt eine anfrage nach der anderen...
1. die beiden .exe files waren sauber, zumindest hat der scan nichts entdeckt
2. der e-scan hat den virus trojanDownloader.win32.keenval.f gefunden. (eigentlich hat er 14 viren gefunden, die einträge scheinen mir aber alle damit zusammenzuhängen, es geht immer um `adware backWeb.a´)
ich habe bisher nicht dagegen unternommen, wusste nicht was...
3. es gibt ein programm das nennt sich full circle quality feedback, das startet jedesmal mit dem firefox, dann geht immer ein fenster auf da steht was von talkback.mozilla.org/spiral-bin/collectot.dll
4. hier nochmal das hijack log
Logfile of HijackThis v1.98.2
Scan saved at 20:56:35, on 19.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\00THotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\BackWeb-154149.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\xxx\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4069374991
was nun??
vielen dank und viele grüße, sven und maren
ps.: wenn du meine letzten hilferufe verfolgt hast, wunderst du dich vermutlich schon, dass ich immer wieder mit neuen problemen ankomme, aber es spricht sich rum,wenn man jemanden hilft und dann kommt eine anfrage nach der anderen...
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
IadHide4.dll
von svister am 19.11.2004, 22:24
die habe ich noch gefunden, als ich den temp ordner leeren wollte. ließ sich nicht löschen:-(
die eigenschaften sagen, dass es sich um eine programmbibliothek von der firma backweb handelt.
nen schönen abend wünsch ich!
die eigenschaften sagen, dass es sich um eine programmbibliothek von der firma backweb handelt.
nen schönen abend wünsch ich!
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 20.11.2004, 00:47
Hallo@svister
Loesche:
<C:\Programme\Mozilla Firefox\components\talkback.exe
und poste mir die infizierten Dateien vom Trojaner
trojanDownloader.win32.keenval.f (aus dem Log abkopieren)
es ist bestimmt das:
C:\WINDOWS\browserxtras\pn\remove.exe
Versuche es damit:
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
mfg
Nikita
Loesche:
<C:\Programme\Mozilla Firefox\components\talkback.exe
und poste mir die infizierten Dateien vom Trojaner
trojanDownloader.win32.keenval.f (aus dem Log abkopieren)
es ist bestimmt das:
C:\WINDOWS\browserxtras\pn\remove.exe
Versuche es damit:
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von svister am 20.11.2004, 14:41
hi@nikita,
killbox kann das file auch nicht löschen!
hier die genauen einträge des escan:
Fri Nov 19 18:58:35 2004 => File C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:53 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\backWeb-154149.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:55 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\ServiceWrapper-154149.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:31:03 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019170.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Fri Nov 19 19:31:05 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019196.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:06 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019201.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Fri Nov 19 19:31:06 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019202.dll tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:07 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019218.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:08 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019221.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:41:20 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP138\A0036036.exe tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
Fri Nov 19 19:43:43 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018032.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:43:44 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018037.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:43:45 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018061.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:52 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\6.1.4.58-154149L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
grüße, sven
killbox kann das file auch nicht löschen!
hier die genauen einträge des escan:
Fri Nov 19 18:58:35 2004 => File C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:53 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\backWeb-154149.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:55 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\ServiceWrapper-154149.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:31:03 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019170.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Fri Nov 19 19:31:05 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019196.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:06 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019201.dll tagged as not-a-virus:AdWare.Gator.6041. No Action Taken.
Fri Nov 19 19:31:06 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019202.dll tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:07 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019218.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:31:08 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP100\A0019221.exe tagged as not-a-virus:AdWare.Gator.5115. No Action Taken.
Fri Nov 19 19:41:20 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP138\A0036036.exe tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
Fri Nov 19 19:43:43 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018032.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:43:44 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018037.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:43:45 2004 => File C:\System Volume Information\_restore{73893670-4DD8-484B-9FA2-BB593F6EAD2C}\RP99\A0018061.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
Fri Nov 19 19:18:52 2004 => File C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\6.1.4.58-154149L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.
grüße, sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 20.11.2004, 15:24
Hallo@svister
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 0710570792
dann scanne noch mal miyt eScan (ich verstehe nicht, warum ein Virenscanner einen anderen Virenscanner der AdWare "beschuldigt" )
Mach dir deshalb keine Sorgen.
Berichte, was noch angezeigt wird, ausser dem F-Secure.
mfg
Nikita
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 0710570792
dann scanne noch mal miyt eScan (ich verstehe nicht, warum ein Virenscanner einen anderen Virenscanner der AdWare "beschuldigt" )
Mach dir deshalb keine Sorgen.
Berichte, was noch angezeigt wird, ausser dem F-Secure.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
link funktioniert nicht :-(
von svister am 21.11.2004, 13:07
Hi@Nikita,
schätze da steht, wie ich den trojaner loswerde? Ist leider ein toter Link. Steht das noch wo anders?
Gruss, Sven
schätze da steht, wie ich den trojaner loswerde? Ist leider ein toter Link. Steht das noch wo anders?
Gruss, Sven
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 21.11.2004, 14:24
Öffnen Sie dafür »Systemsteuerung | System« und wechseln Sie zu »Systemwiederherstellung«. Dort haken Sie dann »Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.
dann scanne noch mal und berichte.
mfg
Nikita
dann scanne noch mal und berichte.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
9 Beiträge • Seite 1 von 1
Ähnliche Themen
| Probleme mit WinXP auf einem Laptop Amilo A beim Hochfahren Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
PC hängt sich beim Runterladen mit flashget auf Forum: Software-Hilfe Autor: Anonymous Antworten: |
Ibm Laptop 770 Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Dateien lassen sich nicht mit dem Photo-Editor verknüpfen Forum: Software-Hilfe Autor: Anonymous Antworten: |
Neuer Virus ''Blaster'' verbreitet sich rasch Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste