Virus!?! COOLWEBSEARCH bzw. FreshBar
17 Beiträge • Seite 1 von 2 • 1, 2
Virus!?! COOLWEBSEARCH bzw. FreshBar
von NoobDeluxe am 11.02.2005, 13:34
Hallo zusammen,
ich muss zuerstmal vorausschicken dass ich was Viren, etc. angeht ein totaler noob bin (darum der username)...
Nun ist mir folgendes passiert:
1. Seit gestern abend zeigt mir mein PC ab und zu Popups mit Glücksspiel-Seiten oder Porno-Bildchen.
2. In meinem Internet-Explorer ist eine Symbolleiste "FreshBar" die auch meine Startseite löscht
3. Mein Virenscanner Symantec Antivirus (aktuell) findet nix
4. AdAware sagt folgendes im Quarantäne Log, wenn ich es lösche ists beim nächsten Scan wieder da:
5. Ich war auf der Suche nach nem Bild vom gestiefelten Kater aus Shrek2 und bin so auf ne Porno-Seite mit Comic-Pornos gekommen... da ich aber nachdem ich den Verlauf, Temporary internet files, cookies danach gelöscht habe weil ich dachte so könnte ich das zeug wieder loswerden kann ich auch nix mehr anchvollziehen!
Da ich das hier jetzt vom Laptop aus tippe kann ichs nur abschreiben, trau mich mit dem PC nicht mehr online!
Hab in andern Foren und auch hier von Trojaner und bestimmten Programmen gelesen die man als Scan asführen soll aber für mich sind das alles bömische Dörfer! Kann mir das evtl. jemand Noobgerecht erklären was ich machen kann!?!
Für schnelle und geduldige Hilfe wäre ich sehr dankbar!
Viele Grüße,
NoobDeluxe
ich muss zuerstmal vorausschicken dass ich was Viren, etc. angeht ein totaler noob bin (darum der username)...
Nun ist mir folgendes passiert:
1. Seit gestern abend zeigt mir mein PC ab und zu Popups mit Glücksspiel-Seiten oder Porno-Bildchen.
2. In meinem Internet-Explorer ist eine Symbolleiste "FreshBar" die auch meine Startseite löscht
3. Mein Virenscanner Symantec Antivirus (aktuell) findet nix
4. AdAware sagt folgendes im Quarantäne Log, wenn ich es lösche ists beim nächsten Scan wieder da:
COOLWEBSEARCH
obj [0]=Reg.Wert X SOFTWARE\Microsoft\Internet Explorer\Main
obj [1]=Reg.Schlüssel : PROTOCOLS\Filter\text/html
5. Ich war auf der Suche nach nem Bild vom gestiefelten Kater aus Shrek2 und bin so auf ne Porno-Seite mit Comic-Pornos gekommen... da ich aber nachdem ich den Verlauf, Temporary internet files, cookies danach gelöscht habe weil ich dachte so könnte ich das zeug wieder loswerden kann ich auch nix mehr anchvollziehen!
Da ich das hier jetzt vom Laptop aus tippe kann ichs nur abschreiben, trau mich mit dem PC nicht mehr online!
Hab in andern Foren und auch hier von Trojaner und bestimmten Programmen gelesen die man als Scan asführen soll aber für mich sind das alles bömische Dörfer! Kann mir das evtl. jemand Noobgerecht erklären was ich machen kann!?!
Für schnelle und geduldige Hilfe wäre ich sehr dankbar!
Viele Grüße,
NoobDeluxe
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von NoobDeluxe am 11.02.2005, 15:00
hab mal dieses Hijackthis ausgeführt, hier der Log:
Logfile of HijackThis v1.99.0
Scan saved at 13:57:23, on 11.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {48272449-D6AB-4B11-B9F2-4420D47D94E4} - C:\WINDOWS\system32\qwsxp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: GetRight Mini-Browser - C:\Programme\GetRight\GetRightIETools\GRMiniBrowser.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search FileMirrors - C:\Programme\GetRight\GetRightIETools\FileMirrors.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra 'Tools' menuitem: &GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3206869921
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC58D72-3648-4EBD-93A7-A64EAECEA931}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE9A27-CF33-4159-9B6A-195C1C017FBC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F6FE4666-ED06-47BC-B21A-038ED814D3A0} - C:\WINDOWS\system32\qwsxp.dll
O18 - Filter: tϠ5
Logfile of HijackThis v1.99.0
Scan saved at 13:57:23, on 11.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Max Mustermann\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {48272449-D6AB-4B11-B9F2-4420D47D94E4} - C:\WINDOWS\system32\qwsxp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: GetRight Mini-Browser - C:\Programme\GetRight\GetRightIETools\GRMiniBrowser.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search FileMirrors - C:\Programme\GetRight\GetRightIETools\FileMirrors.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra 'Tools' menuitem: &GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3206869921
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC58D72-3648-4EBD-93A7-A64EAECEA931}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE9A27-CF33-4159-9B6A-195C1C017FBC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F6FE4666-ED06-47BC-B21A-038ED814D3A0} - C:\WINDOWS\system32\qwsxp.dll
O18 - Filter: tϠ5
Zuletzt geändert von NoobDeluxe am 13.02.2005, 22:23, insgesamt 1-mal geändert.
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von Nikita am 12.02.2005, 11:29
Hallo@NoobDeluxe
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Beispiel HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
das musst du immer wieder ueberpruefen, ob die Host sauber ist !!!
eScan-Erkennungstool...
noch nicht scannen (erst im abgesicherten Modus)
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
kopiere rein:
{F6FE4666-ED06-47BC-B21A-038ED814D3A0}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
das machst du auch mit:
{48272449-D6AB-4B11-B9F2-4420D47D94E4}
tϠ5
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Beispiel HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
das musst du immer wieder ueberpruefen, ob die Host sauber ist !!!
eScan-Erkennungstool...
noch nicht scannen (erst im abgesicherten Modus)
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
kopiere rein:
{F6FE4666-ED06-47BC-B21A-038ED814D3A0}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
das machst du auch mit:
{48272449-D6AB-4B11-B9F2-4420D47D94E4}
tϠ5
Zuletzt geändert von Nikita am 13.02.2005, 17:37, insgesamt 3-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von NoobDeluxe am 13.02.2005, 16:10
Hallo Nikita,
erstmal Vielen Herzlichen Dank für deine Hilfe, hier mal die ersten Ergebnisse:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{F6FE4666-ED06-47BC-B21A-038ED814D3A0}" 13.02.2005 14:53:55
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6FE4666-ED06-47BC-B21A-038ED814D3A0}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6FE4666-ED06-47BC-B21A-038ED814D3A0}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\tϠ5
erstmal Vielen Herzlichen Dank für deine Hilfe, hier mal die ersten Ergebnisse:
{F6FE4666-ED06-47BC-B21A-038ED814D3A0}
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{F6FE4666-ED06-47BC-B21A-038ED814D3A0}" 13.02.2005 14:53:55
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6FE4666-ED06-47BC-B21A-038ED814D3A0}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F6FE4666-ED06-47BC-B21A-038ED814D3A0}\InProcServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\tϠ5
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von Nikita am 13.02.2005, 17:38
[quote="nikita"]Hallo@NoobDeluxe
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Beispiel HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
das musst du immer wieder ueberpruefen, ob die Host sauber ist !!!
eScan-Erkennungstool...
noch nicht scannen (erst im abgesicherten Modus)
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {48272449-D6AB-4B11-B9F2-4420D47D94E4} - C:\WINDOWS\system32\qwsxp.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp2.dll
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe --> MCC TROJAN!
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC58D72-3648-4EBD-93A7-A64EAECEA931}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE9A27-CF33-4159-9B6A-195C1C017FBC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F6FE4666-ED06-47BC-B21A-038ED814D3A0} - C:\WINDOWS\system32\qwsxp.dll
O18 - Filter: tϠ5
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Beispiel HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s)
lösche alles , lasse nur stehen:
127.0.0.1 localhost
das musst du immer wieder ueberpruefen, ob die Host sauber ist !!!
eScan-Erkennungstool...
noch nicht scannen (erst im abgesicherten Modus)
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.3 boards.cexx.org
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.22 lavasoft.de
O1 - Hosts: 127.0.0.23 lavasoftusa.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 www.auditmypc.com
O1 - Hosts: 127.0.0.60 www.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 www.cexx.org
O1 - Hosts: 127.0.0.62 www.computercops.us
O1 - Hosts: 127.0.0.63 www.ct7support.com
O1 - Hosts: 127.0.0.64 www.doxdesk.com
O1 - Hosts: 127.0.0.65 www.eblocs.com
O1 - Hosts: 127.0.0.66 www.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 www.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 www.free-web-browsers.com
O1 - Hosts: 127.0.0.69 www.grc.com
O1 - Hosts: 127.0.0.70 www.grisoft.com
O1 - Hosts: 127.0.0.71 www.hackfaq.org
O1 - Hosts: 127.0.0.72 www.hazeleger.net
O1 - Hosts: 127.0.0.73 www.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 www.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 www.kephyr.com
O1 - Hosts: 127.0.0.76 www.lavasoft.de
O1 - Hosts: 127.0.0.77 www.lavasoftusa.com
O1 - Hosts: 127.0.0.78 www.lurkhere.com
O1 - Hosts: 127.0.0.79 www.majorgeeks.com
O1 - Hosts: 127.0.0.80 www.merijn.org
O1 - Hosts: 127.0.0.81 www.mjc1.com
O1 - Hosts: 127.0.0.82 www.moosoft.com
O1 - Hosts: 127.0.0.83 www.mvps.org
O1 - Hosts: 127.0.0.84 www.net-integration.net
O1 - Hosts: 127.0.0.85 www.noadware.net
O1 - Hosts: 127.0.0.86 www.no-spybot.com
O1 - Hosts: 127.0.0.87 www.onlinepcfix.com
O1 - Hosts: 127.0.0.88 www.pchell.com
O1 - Hosts: 127.0.0.89 www.pestpatrol.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {48272449-D6AB-4B11-B9F2-4420D47D94E4} - C:\WINDOWS\system32\qwsxp.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp2.dll
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe --> MCC TROJAN!
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/6c5 ... taller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{5FC58D72-3648-4EBD-93A7-A64EAECEA931}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE9A27-CF33-4159-9B6A-195C1C017FBC}: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {F6FE4666-ED06-47BC-B21A-038ED814D3A0} - C:\WINDOWS\system32\qwsxp.dll
O18 - Filter: tϠ5
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von NoobDeluxe am 13.02.2005, 17:45
bin dabei... 
ist grad beim eScan, seit 46 Minuten
remv3.bat ist durch aber kann ich ja noch nicht posten weil der Desktop ja im abgesicherten ist...
hoffe ich mach alles richtig aber bis jetzt läuft alles so wie du gesagt hast
also, ich hoffe dann gleich mal die nächsten Logs posten zu können!
ist grad beim eScan, seit 46 Minuten
remv3.bat ist durch aber kann ich ja noch nicht posten weil der Desktop ja im abgesicherten ist...
hoffe ich mach alles richtig aber bis jetzt läuft alles so wie du gesagt hast
also, ich hoffe dann gleich mal die nächsten Logs posten zu können!
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von Nikita am 13.02.2005, 18:18
C:/WINDOWS/System32/version.txt
C:/WINDOWS/System32/toolbar.dll
das hab ich noch gefunden (durch die Scanns)--> muss auch noch geloescht werden
C:/WINDOWS/System32/toolbar.dll
das hab ich noch gefunden (durch die Scanns)--> muss auch noch geloescht werden
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von NoobDeluxe am 13.02.2005, 21:44
@NIKITA
Die beiden Dateien die du grad noch ergänzt hast findet KillBox nicht, vielleicht sind sie durch rem.bat oder eScan bereits weg!?!
eScan hat gut 4 Stunden gebraucht und als die letzte HD durch war hat es wieder mit C: angefangen! Daher ist auch die erste Meldung die gleiche wie die letzte!
Hier die beiden Logs von eScan und remv3.bat:
eScan
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\UNPICVID2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880000.VBN infected by "Trojan-Downloader.Win32.Agent.io" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880002.VBN infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880004.VBN infected by "Trojan-Downloader.Win32.Agent.io" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0056940.EXE.VIR infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\RDSPCLIPS.EXE.VIR infected by "HackTool.Win32.Hidd.f" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SETHCD.EXE.VIR infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\UNPICVID2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Encompass\Diamond\dialer.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Webdialer\li-multi00009.exe infected by "not-a-virus:PornWare.Dialer.OnlineDialer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WBHSHARE.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHAGENT.EXE infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIEHLPR.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIESHM.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd50\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd50\HCWSVINS.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\MM01\Eigene Dateien\Downloads\Systemdownloads\Archiv\GetRight\getrt45a.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.
File E:\Max Mustermann\Eigene Dateien\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
remv3.bat:
Files Found.................
----------------------------------------
run_dos.dll
smbdins.exe
sprestrst.exe
tsmsetup.exe
upncont.exe
wowdbe.exe
Files Not deleted.................
----------------------------------------
Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------
Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished
Ich mach dann mal wieder mit Hijackthis weiter
Die beiden Dateien die du grad noch ergänzt hast findet KillBox nicht, vielleicht sind sie durch rem.bat oder eScan bereits weg!?!
eScan hat gut 4 Stunden gebraucht und als die letzte HD durch war hat es wieder mit C: angefangen! Daher ist auch die erste Meldung die gleiche wie die letzte!
Hier die beiden Logs von eScan und remv3.bat:
eScan
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\UNPICVID2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880000.VBN infected by "Trojan-Downloader.Win32.Agent.io" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880002.VBN infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03880004.VBN infected by "Trojan-Downloader.Win32.Agent.io" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\A0056940.EXE.VIR infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\RDSPCLIPS.EXE.VIR infected by "HackTool.Win32.Hidd.f" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SETHCD.EXE.VIR infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\UNPICVID2.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Encompass\Diamond\dialer.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Webdialer\li-multi00009.exe infected by "not-a-virus:PornWare.Dialer.OnlineDialer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WBHSHARE.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHAGENT.EXE infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIEHLPR.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIESHM.DLL infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd50\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd50\HCWSVINS.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\MM01\Eigene Dateien\Downloads\Systemdownloads\Archiv\GetRight\getrt45a.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken.
File E:\Max Mustermann\Eigene Dateien\Downloads\WinDSL-Tiscali.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\system32\hdgbj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
remv3.bat:
Files Found.................
----------------------------------------
run_dos.dll
smbdins.exe
sprestrst.exe
tsmsetup.exe
upncont.exe
wowdbe.exe
Files Not deleted.................
----------------------------------------
Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------
Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished
Ich mach dann mal wieder mit Hijackthis weiter
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von Nikita am 13.02.2005, 21:48
KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot--> markieren
KOPIERE REIN:
C:\WINDOWS\tmp.hta
C:/WINDOWS/System32/version.txt
C:/WINDOWS/System32/Ole32ws.dll
C:/WINDOWS/System32/toolbar.dll
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\system32\qwsxp.dll
C:\WINDOWS\system32\iesp2.dll
C:\WINDOWS\system32\hdgbj.dll
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Webdialer\li-multi00009.exe
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WBHSHARE.DLL
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHAGENT.EXE
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIEHLPR.DLL
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIESHM.DLL
D:\Tools\DivX Video\DivX502Bundle.exe
E:\MM01\Eigene Dateien\Downloads\Systemdownloads\Archiv\GetRight\getrt45a.exe
C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\sprestrst.exe
C:\WINDOWS\system32\tsmsetup.exe
C:\WINDOWS\system32\upncont.exe
C:\WINDOWS\system32\wowdbe.exe
PC neustarten
Leere den Papierkorb und arbeite alles weitere ab
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot--> markieren
KOPIERE REIN:
C:\WINDOWS\tmp.hta
C:/WINDOWS/System32/version.txt
C:/WINDOWS/System32/Ole32ws.dll
C:/WINDOWS/System32/toolbar.dll
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\system32\qwsxp.dll
C:\WINDOWS\system32\iesp2.dll
C:\WINDOWS\system32\hdgbj.dll
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd40\Webdialer\li-multi00009.exe
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WBHSHARE.DLL
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHAGENT.EXE
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIEHLPR.DLL
D:\RECYCLER\S-1-5-21-1933065265-330402290-3017629935-1007\Dd47\webHancer\Programs\WHIESHM.DLL
D:\Tools\DivX Video\DivX502Bundle.exe
E:\MM01\Eigene Dateien\Downloads\Systemdownloads\Archiv\GetRight\getrt45a.exe
C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\sprestrst.exe
C:\WINDOWS\system32\tsmsetup.exe
C:\WINDOWS\system32\upncont.exe
C:\WINDOWS\system32\wowdbe.exe
PC neustarten
Leere den Papierkorb und arbeite alles weitere ab
Zuletzt geändert von Nikita am 13.02.2005, 23:00, insgesamt 1-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von NoobDeluxe am 13.02.2005, 22:22
Soo, hab alles ausgeführt wie von dir beschrieben...
Hier die drei Logs:
log.txt
bad1.txt ist leer!
HijackThis
Sieht gut aus???? *Hoff*
Hier die drei Logs:
log.txt
Files Found.................
----------------------------------------
run_dos.dll
smbdins.exe
sprestrst.exe
tsmsetup.exe
upncont.exe
wowdbe.exe
Files Not deleted.................
----------------------------------------
Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------
Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished
bad1.txt ist leer!
HijackThis
Logfile of HijackThis v1.99.0
Scan saved at 21:20:04, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\DaemonTools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Max Mustermann\Desktop\Virus\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: GetRight Mini-Browser - C:\Programme\GetRight\GetRightIETools\GRMiniBrowser.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search FileMirrors - C:\Programme\GetRight\GetRightIETools\FileMirrors.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra 'Tools' menuitem: &GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3206869921
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Sieht gut aus???? *Hoff*
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von Nikita am 13.02.2005, 22:57
wie zu erkennen war, hattest du eine verseuchte Version geladen.
Fixe also mit dem HijackThis:
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: GetRight Mini-Browser - C:\Programme\GetRight\GetRightIETools\GRMiniBrowser.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search FileMirrors - C:\Programme\GetRight\GetRightIETools\FileMirrors.htm
O9 - Extra button: GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra 'Tools' menuitem: &GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
neustarten
deinstalliere C:\Programme\GetRight
Loesche noch mit der Killbox:
C:\WINDOWS\tmp.hta -->(hatte ich vergessen)
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________________________________________________________
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
Fixe also mit dem HijackThis:
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: GetRight Mini-Browser - C:\Programme\GetRight\GetRightIETools\GRMiniBrowser.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search FileMirrors - C:\Programme\GetRight\GetRightIETools\FileMirrors.htm
O9 - Extra button: GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
O9 - Extra 'Tools' menuitem: &GetRight - {4DA2C32A-4195-11D1-A9E1-00403320FCF2} - C:\Programme\GetRight\GetRight.exe
neustarten
deinstalliere C:\Programme\GetRight
Loesche noch mit der Killbox:
C:\WINDOWS\tmp.hta -->(hatte ich vergessen)
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________________________________________________________
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von NoobDeluxe am 14.02.2005, 00:20
hier der Ad-Aware SE Log:
Ad-Aware SE Build 1.05
Protokolldatei erstellt am:Sonntag, 13. Februar 2005 23:15:53
Created with Ad-Aware SE Personal, free for private use.
Verwendete Definitionsdatei:SE1R27 05.02.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Während des Scannings identifizierte Referenzen:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC-Index:0):37 Referenzen insgesamt
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Festlegen : Nach unbedeutenden Risikoeinträgen suchen
Festlegen : Sicherer Modus (stets Bestätigung abfragen)
Festlegen : Aktive Prozesse scannen
Festlegen : Registrierung scannen
Festlegen : Registrierung gründlich scannen
Festlegen : IE-Favoriten nach gesperrten URLs durchsuchen
Festlegen : Hosts-Datei scannen
Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren
Festlegen : Erweiterte Ad-Aware-Einstellungen protokollieren
Festlegen : Referenz-Zusammenfassung protokollieren
Festlegen : Details zu alternativen Datenströmen protokollieren
Festlegen : Wenn kritische Objekte identifiziert wurden, Scanlauf durch akustisches Signal abschließen
13.02.2005 23:15:53 - Scanning wurde gestartet. (Intelligenter Modus)
Liste der laufenden Prozesse
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 360
ThreadCreationTime : 13.02.2005 22:14:02
BasePriority : Normal
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 408
ThreadCreationTime : 13.02.2005 22:14:04
BasePriority : Normal
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 432
ThreadCreationTime : 13.02.2005 22:14:05
BasePriority : High
#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 476
ThreadCreationTime : 13.02.2005 22:14:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 488
ThreadCreationTime : 13.02.2005 22:14:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 628
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 640
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 708
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 748
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 796
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:11 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 820
ThreadCreationTime : 13.02.2005 22:14:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 992
ThreadCreationTime : 13.02.2005 22:14:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe
#:13 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1124
ThreadCreationTime : 13.02.2005 22:14:15
BasePriority : Normal
#:14 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 1152
ThreadCreationTime : 13.02.2005 22:14:15
BasePriority : Normal
#:15 [defwatch.exe]
FilePath : C:\PROGRA~1\SYMANT~1\SYMANT~1\
ProcessID : 1176
ThreadCreationTime : 13.02.2005 22:14:15
BasePriority : Normal
FileVersion : 8.1.0.821
ProductVersion : 8.1.0.821
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Virus Definition Daemon
InternalName : DefWatch
LegalCopyright : Copyright © 1998 Symantec Corporation
OriginalFilename : DefWatch.exe
#:16 [mdm.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\
ProcessID : 1244
ThreadCreationTime : 13.02.2005 22:14:17
BasePriority : Normal
FileVersion : 7.00.9064.9150
ProductVersion : 7.00.9064.9150
ProductName : Microsoft Development Environment
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000
OriginalFilename : mdm.exe
#:17 [rtvscan.exe]
FilePath : C:\PROGRA~1\SYMANT~1\SYMANT~1\
ProcessID : 1328
ThreadCreationTime : 13.02.2005 22:14:17
BasePriority : Normal
FileVersion : 8.1.0.821
ProductVersion : 8.1.0.821
ProductName : Symantec AntiVirus
CompanyName : Symantec Corporation
FileDescription : Symantec AntiVirus
LegalCopyright : Copyright (C) Symantec Corporation 1991-2003
#:18 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1396
ThreadCreationTime : 13.02.2005 22:14:17
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:19 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1896
ThreadCreationTime : 13.02.2005 22:14:25
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe
#:20 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 900
ThreadCreationTime : 13.02.2005 22:14:32
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:21 [wuauclt.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 848
ThreadCreationTime : 13.02.2005 22:15:03
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe
#:22 [wscntfy.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2132
ThreadCreationTime : 13.02.2005 22:15:21
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows Security Center Notification App
InternalName : wscntfy.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : wscntfy.exe
#:23 [ati2evxx.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2172
ThreadCreationTime : 13.02.2005 22:15:25
BasePriority : Normal
#:24 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 2240
ThreadCreationTime : 13.02.2005 22:15:25
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE
#:25 [htpatch.exe]
FilePath : C:\WINDOWS\
ProcessID : 2304
ThreadCreationTime : 13.02.2005 22:15:27
BasePriority : Normal
#:26 [soundman.exe]
FilePath : C:\WINDOWS\
ProcessID : 2312
ThreadCreationTime : 13.02.2005 22:15:27
BasePriority : Normal
FileVersion : 5.0.12
ProductVersion : 5.0.12
ProductName : Realtek Sound Manager
CompanyName : Realtek Semiconductor Corp.
FileDescription : Realtek Sound Manager
InternalName : ALSMTray
LegalCopyright : Copyright (c) 2001-2002 Realtek Semiconductor Corp.
OriginalFilename : ALSMTray.exe
Comments : Realtek AC97 Audio Sound Manager
#:27 [dit.exe]
FilePath : C:\WINDOWS\
ProcessID : 2320
ThreadCreationTime : 13.02.2005 22:15:27
BasePriority : Normal
#:28 [fpdisp4.exe]
FilePath : C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\
ProcessID : 2356
ThreadCreationTime : 13.02.2005 22:15:28
BasePriority : Normal
FileVersion : 4.61
ProductVersion : 4.61
ProductName : FinePrint 2000
CompanyName : FinePrint Software, LLC
FileDescription : FinePrint 2000
LegalCopyright : Copyright (c) 1995-2001 FinePrint Software, LLC
#:29 [vptray.exe]
FilePath : C:\PROGRA~1\SYMANT~1\SYMANT~1\
ProcessID : 2372
ThreadCreationTime : 13.02.2005 22:15:29
BasePriority : Normal
FileVersion : 8.1.0.821
ProductVersion : 8.1.0.821
ProductName : Symantec AntiVirus
CompanyName : Symantec Corporation
FileDescription : Symantec AntiVirus
LegalCopyright : Copyright (C) Symantec Corporation 1991-2003
#:30 [daemon.exe]
FilePath : C:\Programme\DaemonTools\
ProcessID : 2412
ThreadCreationTime : 13.02.2005 22:15:29
BasePriority : Normal
#:31 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 2420
ThreadCreationTime : 13.02.2005 22:15:30
BasePriority : Normal
#:32 [wcescomm.exe]
FilePath : C:\Programme\Microsoft ActiveSync\
ProcessID : 2436
ThreadCreationTime : 13.02.2005 22:15:30
BasePriority : Normal
FileVersion : 3.7.1.3244
ProductVersion : 3.7.3244
ProductName : Microsoft ActiveSync
CompanyName : Microsoft Corporation
FileDescription : Connection Manager
InternalName : wcescomm
LegalCopyright : Copyright © 1995-2003 Microsoft Corp. Alle Rechte vorbehalten.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation.
OriginalFilename : WCESCOMM.EXE
#:33 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2452
ThreadCreationTime : 13.02.2005 22:15:30
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE
#:34 [acrotray.exe]
FilePath : C:\Programme\Adobe\Acrobat 6.0\Distillr\
ProcessID : 2476
ThreadCreationTime : 13.02.2005 22:15:32
BasePriority : Normal
FileVersion : 6.0.1.2003102300
ProductVersion : 6.0.1.2003102300
ProductName : AcroTray - Adobe Acrobat Distiller helper application.
CompanyName : Adobe Systems Inc.
FileDescription : AcroTray
InternalName : AcroTray
LegalCopyright : Copyright 1984-2003 Adobe Systems Incorporated and its licensors. All rights reserved.
OriginalFilename : AcroTray.exe
#:35 [hotsync.exe]
FilePath : C:\Programme\Palm\
ProcessID : 2492
ThreadCreationTime : 13.02.2005 22:15:32
BasePriority : Normal
FileVersion : 3.1.1
ProductVersion : 3.1.1
ProductName : HotSync® Manager
CompanyName : Palm, Inc.
FileDescription : HotSync® Manager Application
InternalName : HotSync®
LegalCopyright : Copyright © 1995-2000 Palm, Inc.
LegalTrademarks : HotSync® is a registered trademark of Palm, Inc.
OriginalFilename : Hotsync.exe
#:36 [ditexp.exe]
FilePath : C:\WINDOWS\
ProcessID : 2536
ThreadCreationTime : 13.02.2005 22:15:34
BasePriority : Normal
#:37 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 2812
ThreadCreationTime : 13.02.2005 22:15:43
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved
Ergebnis des Arbeitsspeicherscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ergebnis des Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Gründlicher Registrierungsscan gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ergebnis des gründlichen Registrierungsscans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Tracking Cookie-Scan wurde gestartet
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ergebnis des Tracking Cookie-Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Dateien werden gründlich gescannt und überprüft...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ergebnis d. Datenträgerscans für C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Ergebnis d. Datenträgerscans für C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Ergebnis d. Datenträgerscans für C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 0
Hosts-Datei wird gescannt......
Pfad der Hosts-Datei:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scanergebnis für Hosts-Datei:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 Einträge gescannt.
Neue kritische Objekte:0
Bisher gefundene Objekte: 0
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\search assistant\acmru
Beschreibung : list of recent search terms used with the search assistant
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Beschreibung : list of recently saved files, stored according to file extension
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Beschreibung : list of recent programs opened
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\windows\currentversion\explorer\recentdocs
Beschreibung : list of recent documents opened
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\office\10.0\word\recent templates
Beschreibung : list of recent templates used by microsoft word
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\office\10.0\excel\recent files
Beschreibung : list of recent files used by microsoft excel
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\adobe\adobe acrobat\6.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe acrobat
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\internet explorer
Beschreibung : last download directory used in microsoft internet explorer
MRU List Objekt erkannt!
Pfad: : software\microsoft\directdraw\mostrecentapplication
Beschreibung : most recent application to use microsoft directdraw
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\microsoft management console\recent file list
Beschreibung : list of recent snap-ins used in the microsoft management console
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\mediaplayer\player\settings
Beschreibung : last save as directory used in jasc paint shop pro
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\office\10.0\common\general
Beschreibung : list of recently used symbols in microsoft office
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\mediaplayer\preferences
Beschreibung : last cd record path used in microsoft windows media player
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe reader
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\office\10.0\powerpoint\recent typeface list
Beschreibung : list of recently used typefaces in microsoft powerpoint
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\jasc\paint shop pro 8\recent file list
Beschreibung : list of recently used files in jasc paint shop pro
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles
Beschreibung : list of recently used files in adobe reader
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\mediaplayer\player\settings
Beschreibung : last open directory used in jasc paint shop pro
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d
MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct3d
MRU List Objekt erkannt!
Pfad: : software\musicmatch
Beschreibung : download location of the musicmatch installer
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist index loaded in microsoft windows media player
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\windows\currentversion\applets\regedit
Beschreibung : last key accessed using the microsoft registry editor
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\directinput\mostrecentapplication
Beschreibung : most recent application to use microsoft directinput
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\mediaplayer\preferences
Beschreibung : last playlist loaded in microsoft windows media player
MRU List Objekt erkannt!
Pfad: : software\musicmatch\musicmatch jukebox\4.0\mmradio
Beschreibung : information on the last station listened to using musicmatch radio
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\automap\9.0\findmru
Beschreibung : list of recently used find queries used in microsoft automap-based products
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\automap\9.0\recent file list
Beschreibung : list of recently used files in microsoft automap-based products
MRU List Objekt erkannt!
Pfad: : software\musicmatch\musicmatch jukebox\4.0\fileconv
Beschreibung : file conversion location settings in musicmatch jukebox
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X
MRU List Objekt erkannt!
Pfad: : software\microsoft\direct3d\mostrecentapplication
Beschreibung : most recent application to use microsoft direct X
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\winrar\dialogedithistory\extrpath
Beschreibung : winrar "extract-to" history
MRU List Objekt erkannt!
Pfad: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk
MRU List Objekt erkannt!
Pfad: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk
MRU List Objekt erkannt!
Pfad: : S-1-5-21-2772165987-1997131673-1352122261-1007\software\microsoft\windows media\wmsdk\general
Beschreibung : windows media sdk
MRU List Objekt erkannt!
Pfad: : C:\Dokumente und Einstellungen\Max Mustermann\recent
Beschreibung : list of recently opened documents
Bedingte Scans werden durchgeführt...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ergebnis des bedingten Scans:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Neue kritische Objekte: 0
Bisher gefundene Objekte: 37
23:18:03 Scan abgeschlossen
Scanzusammenfassung
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Scandauer insges.:00:02:10.312
Gescannte Objekte:66284
Identifizierte Objekte:0
Ignorierte Objekte:0
Neue kritische Objekte:0
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von NoobDeluxe am 14.02.2005, 00:25
und hier nochmal der aktuelle HijackThis-Log:
wars das jetzt oder muss ich ihn erschießen
Also egal was draus wird aber auf jedenfall schonmal VIEEEELEN DANK für die intensive und ausführliche Hilfe!!!
Ich lad mir jetzt erstmal Firefox
Logfile of HijackThis v1.99.0
Scan saved at 23:22:33, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\DaemonTools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Max Mustermann\Desktop\Virus\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O1 - Hosts: 127.0.0.0 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3206869921
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
wars das jetzt oder muss ich ihn erschießen
Also egal was draus wird aber auf jedenfall schonmal VIEEEELEN DANK für die intensive und ausführliche Hilfe!!!
Ich lad mir jetzt erstmal Firefox
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
von NoobDeluxe am 14.02.2005, 01:06
hab jetzt übrigens auf C: einen Ordner C:\!Submit\tmp.hta
die Datei sollt ich doch löschen, aber in Windows...
was ist hier zu tun?
Surf jetzt übrigens auf Firefox
Besten Gruß!
die Datei sollt ich doch löschen, aber in Windows...
was ist hier zu tun?
Surf jetzt übrigens auf Firefox
Besten Gruß!
- NoobDeluxe
- Beiträge: 11
- Registriert: 11.02.2005, 13:23
17 Beiträge • Seite 1 von 2 • 1, 2
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste