Hab vor kurzem mal 'ne Datei mit eMule gesaugt, die war extrem schnell auf der Platte (so um die 500 MB in etwa 10 Minuten). Ich hab' mir jedoch nicht so viel dabei gedacht. Also startete ich die Datei (eigentlich ein .mpg) jedoch konnte der Mediaplayer damit nichts anfangen. Wollte dann mal Antivir laufen lassen um zu überprüfen ob es sich dabei um ein Virus oder ein Wurm handelt, jedoch blieb Antivir immer beim Systemtest hängen. Also als nächstes hab ich mir mal Sysclean runtergeladen und mit dem aktuellen Patternfile im abgesicherten Modus laufen lassen, das hat 3 Viren gefunden. Jedoch war damit das Problem nicht behoben, Antivir bleibt immer noch hängen. Also mal Hijackthis geladen und hier das Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 11:39:11, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirPersonal\AVGUARD.EXE
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\iHP140\iHPDetect.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVirPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tray Commander\TC.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\cFosSpeed\cfosspeed.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Gates\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/cgi-bin/auk?lng=de;cmd=ucn
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP140\iHPDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Tray Commander] C:\Programme\Tray Commander\TC.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [Web Offer] Command /c del C:\WINDOWS\system32\EZPOPS~1.EXE
O4 - Startup: cfosspeed.lnk = C:\Programme\cFosSpeed\cfosspeed.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info. ... taller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrayMan - Unknown owner - C:\PROGRA~1\TrayMan\ntstart.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
An was liegt das?
Ich hoffe Ihr könnt mir helfen.
Michi
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Brauche Hilfe beim Viren- und Wurmentfernen !
8 Beiträge • Seite 1 von 1
von Nikita am 18.02.2005, 14:43
Hallo@master8191
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von master8191 am 18.02.2005, 19:05
Sorry, aber wa genau meinst du mit "Bearbeiten anklicken" und ""infected" reinschreiben"? Wenn ich auf "View Log" klicke komme ich in den Editor mit einer riesigen Liste von Dateien. Und was genau bringt es wenn ich auf "Bearbeiten" klicke? Und vor allem "WO"?
Sorry, aber diese Anleitung durschaue ich jetzt nicht ganz!
Michi
Sorry, aber diese Anleitung durschaue ich jetzt nicht ganz!
Michi
- master8191
- Beiträge: 8
- Registriert: 18.02.2005, 12:42
- Wohnort: Irgendwo in der Schweiz
von master8191 am 18.02.2005, 19:13
Sorry für den Doppelpost aber jetzt läuft Antivir wieder. Jedoch bin ich mir noch nicht ganz so sicher ob der Wurm oder was das auch immer war wirkliche weg ist. Kann jemand mit diesem Hijackthis-Logfile was anfangen? Sieht da irgendwas verdächtig aus?
Hier noch einmal der aktuelle:
Logfile of HijackThis v1.99.1
Scan saved at 18:10:07, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirPersonal\AVGUARD.EXE
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\iHP140\iHPDetect.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVirPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tray Commander\TC.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\cFosSpeed\cfosspeed.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\DOKUME~1\Gates\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Gates\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVirPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Gates\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/cgi-bin/auk?lng=de;cmd=ucn
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP140\iHPDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Tray Commander] C:\Programme\Tray Commander\TC.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: cfosspeed.lnk = C:\Programme\cFosSpeed\cfosspeed.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info. ... taller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Ich hoffe, dass die Kiste wieder sauber ist, denn ich habe nicht sehr grossen Bock drauf, Windows schon wieder neu aufzusetzen (wäre mittlerweilen das 9. Mal).
Falls jemand noch etwas verdächtiges im Logfile findet bitte posten.
Michi
Hier noch einmal der aktuelle:
Logfile of HijackThis v1.99.1
Scan saved at 18:10:07, on 18.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirPersonal\AVGUARD.EXE
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\iHP140\iHPDetect.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVirPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tray Commander\TC.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\cFosSpeed\cfosspeed.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\DOKUME~1\Gates\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Gates\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\AntiVirPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Gates\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/cgi-bin/auk?lng=de;cmd=ucn
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP140\iHPDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Tray Commander] C:\Programme\Tray Commander\TC.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: cfosspeed.lnk = C:\Programme\cFosSpeed\cfosspeed.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info. ... taller.exe
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Ich hoffe, dass die Kiste wieder sauber ist, denn ich habe nicht sehr grossen Bock drauf, Windows schon wieder neu aufzusetzen (wäre mittlerweilen das 9. Mal).
Falls jemand noch etwas verdächtiges im Logfile findet bitte posten.
Michi
- master8191
- Beiträge: 8
- Registriert: 18.02.2005, 12:42
- Wohnort: Irgendwo in der Schweiz
von Nikita am 19.02.2005, 19:41
master8191
fixe mit dem HijackThis, damit es aus dem Autostart kommt:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
neustarten
ist es denn so schwer, das Viewlog zu oeffnen und dann
--> oben links--> bearbeiten--> infected reinschreiben und klicken.....
dann alles abkopieren, was erscheint
mache bitte folgendes:
bearbeiten -> suchen, hier gibst du "infected" ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
fixe mit dem HijackThis, damit es aus dem Autostart kommt:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
neustarten
ist es denn so schwer, das Viewlog zu oeffnen und dann
--> oben links--> bearbeiten--> infected reinschreiben und klicken.....
dann alles abkopieren, was erscheint
mache bitte folgendes:
bearbeiten -> suchen, hier gibst du "infected" ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von master8191 am 20.02.2005, 01:30
@Nikita: Nee ist nicht schwer, jedoch wusste ich nicht, was du mit "Bearbeiten -> "Infected" reinschreiben" gemeint hast. Irgendwie fehlte da das "Suchen"
Also nun hier die infizierten Dateien (eScan):
File C:\Dokumente und Einstellungen\Gates\Anwendungsdaten\Thunderbird\Profiles\aqbxtt4f.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.NetSky.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Gates\Anwendungsdaten\Thunderbird\Profiles\aqbxtt4f.default\Mail\Local Folders\Trash infected by "Email-Worm.Win32.NetSky.c" Virus. Action Taken: No Action Taken.
File C:\Programme\AntiVirPersonal\INFECTED\A0006649.EXE.VIR infected by "Trojan-Spy.Win32.Tiny.101" Virus. Action Taken: No Action Taken.
File C:\Programme\AntiVirPersonal\INFECTED\TIKL32.DLL.VIR infected by "Trojan-Spy.Win32.Tiny.101" Virus. Action Taken: No Action Taken.
File C:\Programme\DVD2SVCD\D2SRoBa360.exe tagged as not-a-virus:RiskWare.Tool.Processor.20. No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinStatX.dll infected by "not-a-virus:AdWare.WinAD.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinStatX.dll infected by "not-a-virus:AdWare.WinAD.t" Virus. Action Taken: No Action Taken.
Hast du dir das etwa so vorgestellt?
Ich hoffe ja, nur, es ist doch wirkliche einfacher, die Daten direkt aus dem Fenster zu nehmen (bei Virus Log Information).
Das kommt ja schlussendlich auf genau das gleiche raus.
Und hier zur Vervollständigung noch die Schlussdaten:
Sat Feb 19 22:08:44 2005 => ***** Scanning complete. *****
Sat Feb 19 22:08:44 2005 => Total Files Scanned: 63100
Sat Feb 19 22:08:44 2005 => Total Virus(es) Found: 8
Sat Feb 19 22:08:44 2005 => Total Disinfected Files: 0
Sat Feb 19 22:08:44 2005 => Total Files Renamed: 0
Sat Feb 19 22:08:44 2005 => Total Deleted Files: 0
Sat Feb 19 22:08:44 2005 => Total Errors: 19
Sat Feb 19 22:08:44 2005 => Time Elapsed: 02:28:08
Sat Feb 19 22:08:44 2005 => Virus Database Date: 2005/02/14
Sat Feb 19 22:08:44 2005 => Virus Database Count: 118236
Was soll ich jetzt tun? Ist was schlimmes dabei? Wie bringe ich dieses Zeug wieder weg von der Platte?
Sorry, für diese Anfängerfragen, nur hatte ich bisher noch nie ernsthaft mit Viren zu tun (dachte ich jedenfalls).l
Greets Michi
Also nun hier die infizierten Dateien (eScan):
File C:\Dokumente und Einstellungen\Gates\Anwendungsdaten\Thunderbird\Profiles\aqbxtt4f.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.NetSky.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Gates\Anwendungsdaten\Thunderbird\Profiles\aqbxtt4f.default\Mail\Local Folders\Trash infected by "Email-Worm.Win32.NetSky.c" Virus. Action Taken: No Action Taken.
File C:\Programme\AntiVirPersonal\INFECTED\A0006649.EXE.VIR infected by "Trojan-Spy.Win32.Tiny.101" Virus. Action Taken: No Action Taken.
File C:\Programme\AntiVirPersonal\INFECTED\TIKL32.DLL.VIR infected by "Trojan-Spy.Win32.Tiny.101" Virus. Action Taken: No Action Taken.
File C:\Programme\DVD2SVCD\D2SRoBa360.exe tagged as not-a-virus:RiskWare.Tool.Processor.20. No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinStatX.dll infected by "not-a-virus:AdWare.WinAD.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinStatX.dll infected by "not-a-virus:AdWare.WinAD.t" Virus. Action Taken: No Action Taken.
Hast du dir das etwa so vorgestellt?
Ich hoffe ja, nur, es ist doch wirkliche einfacher, die Daten direkt aus dem Fenster zu nehmen (bei Virus Log Information).
Das kommt ja schlussendlich auf genau das gleiche raus.
Und hier zur Vervollständigung noch die Schlussdaten:
Sat Feb 19 22:08:44 2005 => ***** Scanning complete. *****
Sat Feb 19 22:08:44 2005 => Total Files Scanned: 63100
Sat Feb 19 22:08:44 2005 => Total Virus(es) Found: 8
Sat Feb 19 22:08:44 2005 => Total Disinfected Files: 0
Sat Feb 19 22:08:44 2005 => Total Files Renamed: 0
Sat Feb 19 22:08:44 2005 => Total Deleted Files: 0
Sat Feb 19 22:08:44 2005 => Total Errors: 19
Sat Feb 19 22:08:44 2005 => Time Elapsed: 02:28:08
Sat Feb 19 22:08:44 2005 => Virus Database Date: 2005/02/14
Sat Feb 19 22:08:44 2005 => Virus Database Count: 118236
Was soll ich jetzt tun? Ist was schlimmes dabei? Wie bringe ich dieses Zeug wieder weg von der Platte?
Sorry, für diese Anfängerfragen, nur hatte ich bisher noch nie ernsthaft mit Viren zu tun (dachte ich jedenfalls).l
Greets Michi
- master8191
- Beiträge: 8
- Registriert: 18.02.2005, 12:42
- Wohnort: Irgendwo in der Schweiz
von Nikita am 20.02.2005, 16:59
Hallo@master8191
öffne das HijackThis
Open the Misc Tools section-->delete a file of reboot
dann reinkopieren:
C:\WINDOWS\Downloaded Program Files\WinStatX.dll
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes"
PC neustarten
Trend Micro warnt vor einer neuen Variante des Mail-Wurms W32.Netsky mit der Versionsnummer "C". Das Schadens- und Verbreitungspotenzial des Schädlings stuft der Antivirenspezialist als hoch ein.
Wie sein erst vor wenigen Tagen erschienener Vorgänger Netsky.b kommt auch Netsky.c per Mail als angehängte Datei. In der Betreffzeile der infizierten Mail stehen Formulierungen wie "Question,""Fwd: lol," oder auch "Re: hey" zu lesen.
Beim Öffnen des Attachment lege der Wurm die Datei "winlogon.exe" im Systemverzeichnis ("System32") von Windows ab. Kopien davon speichert der Wurm zudem in verschiedenen freigegebenen Verzeichnissen. Nach Erkenntnissen von TrendMicro verwende Netsky.C dabei Dateinamen wie "Adobe Photoshop 9 full.exe", "Microsoft Office 2003 Crack.exe" oder "Win Longhorn Beta.exe
Um sich zu verbreiten verfügt auch Netsky.C über eine eigene SMTP-Engine. Gefährdet sind Computer mit den Betriebsystemen Windows. Netsky.c versucht diverse Registrierungseinträge zu löschen, darunter auch diejenigen von Antivirensoftware. Laut dem Antivirenexperten Sophos kann es vorkommen, dass der Rechner sporadisch einen Piepton von sich gibt, wenn der Rechner am 26. Februar zwischen 6 und 9 Uhr gestartet wird.
Trend Micro und Sophos haben die Signaturen ihrer Virenscanner bereits auf die Abwehr des Wurms angepasst. Von anderen Herstellern von Antiviren-Software ist dies ebenfalls zu erwarten
(Mit freundlicher Genehmigung der PC-Welt)
#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Trend-Micro (Online)
http://de.trendmicro-europe.com/consume ... launch.php
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
öffne das HijackThis
Open the Misc Tools section-->delete a file of reboot
dann reinkopieren:
C:\WINDOWS\Downloaded Program Files\WinStatX.dll
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes"
PC neustarten
Trend Micro warnt vor einer neuen Variante des Mail-Wurms W32.Netsky mit der Versionsnummer "C". Das Schadens- und Verbreitungspotenzial des Schädlings stuft der Antivirenspezialist als hoch ein.
Wie sein erst vor wenigen Tagen erschienener Vorgänger Netsky.b kommt auch Netsky.c per Mail als angehängte Datei. In der Betreffzeile der infizierten Mail stehen Formulierungen wie "Question,""Fwd: lol," oder auch "Re: hey" zu lesen.
Beim Öffnen des Attachment lege der Wurm die Datei "winlogon.exe" im Systemverzeichnis ("System32") von Windows ab. Kopien davon speichert der Wurm zudem in verschiedenen freigegebenen Verzeichnissen. Nach Erkenntnissen von TrendMicro verwende Netsky.C dabei Dateinamen wie "Adobe Photoshop 9 full.exe", "Microsoft Office 2003 Crack.exe" oder "Win Longhorn Beta.exe
Um sich zu verbreiten verfügt auch Netsky.C über eine eigene SMTP-Engine. Gefährdet sind Computer mit den Betriebsystemen Windows. Netsky.c versucht diverse Registrierungseinträge zu löschen, darunter auch diejenigen von Antivirensoftware. Laut dem Antivirenexperten Sophos kann es vorkommen, dass der Rechner sporadisch einen Piepton von sich gibt, wenn der Rechner am 26. Februar zwischen 6 und 9 Uhr gestartet wird.
Trend Micro und Sophos haben die Signaturen ihrer Virenscanner bereits auf die Abwehr des Wurms angepasst. Von anderen Herstellern von Antiviren-Software ist dies ebenfalls zu erwarten
(Mit freundlicher Genehmigung der PC-Welt)
#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#Trend-Micro (Online)
http://de.trendmicro-europe.com/consume ... launch.php
http://de.trendmicro-europe.com/enterpr ... ll_pre.php
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von master8191 am 20.02.2005, 17:27
Vielen Dank Nikita,
also so wie es jetzt aussieht, scheint die Kiste wieder einigermassen sauber zu sein. Antivir, eScan und alle deine gelisteten Onlinescanner finden nichts mehr.
Hier zum Schluss nochmals das Aktuelle HijackThis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 16:22:46, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirPersonal\AVGUARD.EXE
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\iHP140\iHPDetect.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVirPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tray Commander\TC.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\cFosSpeed\cfoss_peed.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVirPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Gates\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/cgi-bin/auk?lng=de;cmd=ucn
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP140\iHPDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Tray Commander] C:\Programme\Tray Commander\TC.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: cfoss_peed.lnk = C:\Programme\cFosSpeed\cfoss_peed.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Sieht für mich sauber aus.
MfG Michi
also so wie es jetzt aussieht, scheint die Kiste wieder einigermassen sauber zu sein. Antivir, eScan und alle deine gelisteten Onlinescanner finden nichts mehr.
Hier zum Schluss nochmals das Aktuelle HijackThis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 16:22:46, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirPersonal\AVGUARD.EXE
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iRiver\iHP140\iHPDetect.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVirPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tray Commander\TC.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\cFosSpeed\cfoss_peed.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BROADC~1.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVirPersonal\AVWIN.EXE
C:\Dokumente und Einstellungen\Gates\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ricardo.ch/cgi-bin/auk?lng=de;cmd=ucn
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP140\iHPDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Tray Commander] C:\Programme\Tray Commander\TC.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: cfoss_peed.lnk = C:\Programme\cFosSpeed\cfoss_peed.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Sieht für mich sauber aus.
MfG Michi
- master8191
- Beiträge: 8
- Registriert: 18.02.2005, 12:42
- Wohnort: Irgendwo in der Schweiz
8 Beiträge • Seite 1 von 1
Ähnliche Themen
| probs beim booten mit win 98 und bildschirm Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Probleme mit WinXP auf einem Laptop Amilo A beim Hochfahren Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
CPU-Auslastung beim Drucken Forum: Software-Hilfe Autor: Anonymous Antworten: |
PC hängt sich beim Runterladen mit flashget auf Forum: Software-Hilfe Autor: Anonymous Antworten: |
Probleme beim Installiern Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste