hallo sitz jetz am pc von meiner schwester und da fehlts weit sie will aba ned neu aufsetzen. kann mir wer helfen plz?
probleme sind eh schon im titel enthalten.
thx für hie hilfe
cya georg
also seht selbst *fg*
Logfile of HijackThis v1.99.0
Scan saved at 17:10:58, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Antivir 6\install\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Antivir 6\install\AVGUARD.EXE
C:\Programme\Antivir 6\install\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\Avant Browser\avant.exe
C:\WINDOWS\System32\winpack.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\MARTIN~1\LOKALE~1\Temp\HijackThis.exe
C:\WINDOWS\System32\unimdmat.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: pdfMachine - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Antivir 6\install\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [unimdmat] C:\WINDOWS\System32\unimdmat.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .MOV: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\Antivir 6\install\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Antivir 6\install\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Trojan-Downloader.Win32.Agent.gg -->winpack.exe
2 Beiträge • Seite 1 von 1
Trojan-Downloader.Win32.Agent.gg
von Nikita am 03.01.2005, 13:20
Hallo@fetzkochl
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
(kann st du nach der Reinigung wieder aktivieren)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: pdfMachine - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [unimdmat] C:\WINDOWS\System32\unimdmat.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe --> Trojan-Downloader.Win32.Agent.gg
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" -->[New.net]/NEWDOT
Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die "newdotnet6_38.dll "
von der linken auf die rechte Seite und loesche sie.
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
kopiere rein:
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
c:\counter.cab
C:\WINDOWS\System32\unimdmat.exe
C:\WINDOWS\System32\winpack.exe
<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
PC neustarten
Lade: SYS-UP.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
entpacke und klicke: SysUp.exe (DOS oeffnet sich)
TrendMicro -->scan
#eScan-Erkennungstool[/u]
ftp://mwti.matrix.lv/download/tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#C:\Windows\Downloaded Programm Files\ -->löschen
#C:\WINDOWS\Temp\
#C:\Temp\
#C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
Gehe wieder in den Normalmodus
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
dazu postest du mir noch das Log von diesem Scann:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
+
das neue Log vom HijackThis
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
(kann st du nach der Reinigung wieder aktivieren)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: pdfMachine - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [unimdmat] C:\WINDOWS\System32\unimdmat.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe --> Trojan-Downloader.Win32.Agent.gg
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/se ... loader.cab
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" -->[New.net]/NEWDOT
Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die "newdotnet6_38.dll "
von der linken auf die rechte Seite und loesche sie.
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
kopiere rein:
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
c:\counter.cab
C:\WINDOWS\System32\unimdmat.exe
C:\WINDOWS\System32\winpack.exe
<Delete File on Reboot
<Unregister .dll before deleting.”
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
PC neustarten
Lade: SYS-UP.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
entpacke und klicke: SysUp.exe (DOS oeffnet sich)
TrendMicro -->scan
#eScan-Erkennungstool[/u]
ftp://mwti.matrix.lv/download/tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
#C:\Windows\Downloaded Programm Files\ -->löschen
#C:\WINDOWS\Temp\
#C:\Temp\
#C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
Gehe wieder in den Normalmodus
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
dazu postest du mir noch das Log von diesem Scann:
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
+
das neue Log vom HijackThis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
2 Beiträge • Seite 1 von 1
Ähnliche Themen
| Downloader Trojan - wie beseitigen ? Forum: Online- und PC-Sicherheit Autor: HerrStrubbel Antworten: |
keylogger.trojan Forum: Online- und PC-Sicherheit Autor: yago Antworten: |
problem mir wurm worm.win32.welchia.h Forum: Online- und PC-Sicherheit Autor: godeke6 Antworten: |
Hilfe!!! Trojan.Clicker.Delf.R und Backdoor.SDBot.IE Forum: Online- und PC-Sicherheit Autor: komet Antworten: |
TR/SPY.Agent.N ????? Forum: Online- und PC-Sicherheit Autor: Bubits Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste