Hallo zusammen,
ich habe über den AV-Guard folgende Virus-Warnung erhalten:
Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Agent.AY!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028395.EXE
Daraufhin habe ich mit Hijackthis gescannt und folgenden Log gespeichert:
Logfile of HijackThis v1.99.0
Scan saved at 20:43:28, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Puh\Eigene Dateien\Downloads\hijackthis199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vr-web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {9067B962-5C07-4221-BDCA-29A681E0B8FA} - http://www.medionshop.de (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/043091fb1d8 ... 601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Kann mir hier jemand weiterhelfen und sagen, was ich tun muss??? Und wie ich meinen PC zukünftig etwas sicherer mache???
Vielen Dank ... Ingo
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Backdoor Agent AY - Hijackthis-Log - wer kann mir helfen???
10 Beiträge • Seite 1 von 1
von Nikita am 21.02.2005, 11:51
Hallo@Sauerlandpuh
Hast du: Coolspot Personal ID (German) ???? installiert ?
http://www.personalid.de/?template=agb
falls ja, lasse die pidlsp.dll , falls nein, loesche die dll
______________________________________________________
#LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die pidlsp.dll
von der linken auf die rechte Seite und loesche die dll
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
reinkopieren.
{7FF23285-DBBC-49B6-818C-34AC459D5BB3}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
PC neustarten
KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot--> anhaken
C:\WINDOWS\system32\pidd.dll
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"
PC neustarten
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
Hast du: Coolspot Personal ID (German) ???? installiert ?
http://www.personalid.de/?template=agb
falls ja, lasse die pidlsp.dll , falls nein, loesche die dll
______________________________________________________
#LSPfix.exe
http://www.spychecker.com/program/lspfix.html
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die pidlsp.dll
von der linken auf die rechte Seite und loesche die dll
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
reinkopieren.
{7FF23285-DBBC-49B6-818C-34AC459D5BB3}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
PC neustarten
KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot--> anhaken
C:\WINDOWS\system32\pidd.dll
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"
PC neustarten
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Was muss ich nun tun?
von Sauerlandpuh am 25.02.2005, 17:24
Habe alles so gemacht, und bei mwa nach infected gesucht ... was muss ich dann mit den Dateien tun? Aus dem Explorer suchen und löschen? Oder kann ich das im Programm erledigen?
P.S.: Sorry, hat etwas länger gedauert ... aber bin nun wieder dabei.
P.S.: Sorry, hat etwas länger gedauert ... aber bin nun wieder dabei.
- Sauerlandpuh
- Beiträge: 9
- Registriert: 20.02.2005, 21:45
von Nikita am 26.02.2005, 00:58
-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
und nun alles rauskopieren, was angezeigt wird-->
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Sauerlandpuh am 02.03.2005, 13:01
Hallo, hier nun endlich …
… das RegSearch-Ergebnis:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{7FF23285-DBBC-49B6-818C-34AC459D5BB3}" 27.02.2005 22:26:55
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid]
@="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}"
… und ein zweites Ergebnis mit anderer Suche:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}" 27.02.2005 22:06:51
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Cfg]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
… und das mwav-Ergebnis:
C:\Programme\AVPersonal\INFECTED\*.*
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.001
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.001 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.002
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.003
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.003 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.004
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.004 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.005
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.005 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.006
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.006 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.VIR
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.001
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.001 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.002
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.003
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.003 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.004
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.004 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.005
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.005 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.006
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.006 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.007
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.007 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.VIR
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027810.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027811.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027812.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027813.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027814.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027815.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027818.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027819.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027820.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027821.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027822.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027823.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027826.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027827.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027829.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028401.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028402.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028403.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028404.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028405.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028406.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028407.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028408.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028409.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028410.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028411.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028412.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
… und nach alledem nochmal das Hijackthis-Log:
Logfile of HijackThis v1.99.0
Scan saved at 22:37:39, on 27.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Puh\Eigene Dateien\Downloads\hijackthis199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vr-web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {9067B962-5C07-4221-BDCA-29A681E0B8FA} - http://www.medionshop.de (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/043091fb1d8 ... 601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Das sind ja ellenlange Listen! Ich habe im Vorfeld auch schon versucht, zwei versteckte Ordner zu löschen: Davon nistet sich immer wieder der Ordner RECYCLER unter C: ein, und es gibt einen weiteren namens SYSTEM VOLUME INFORMATION, worauf mir der Zugriff verweigert wird, auch nachdem ich unter Ordnereigenschaften das VERSTECKT aufgehoben habe.
Vielen Dank für die weitere Hilfe und viele Grüße … Ingo
… das RegSearch-Ergebnis:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{7FF23285-DBBC-49B6-818C-34AC459D5BB3}" 27.02.2005 22:26:55
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid]
@="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}"
… und ein zweites Ergebnis mit anderer Suche:
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}" 27.02.2005 22:06:51
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Cfg]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters]
"MachineGuid"="{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}"
… und das mwav-Ergebnis:
C:\Programme\AVPersonal\INFECTED\*.*
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.001
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.001 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.002
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.003
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.003 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.004
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.004 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.005
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.005 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.006
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.006 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.VIR
C:\Programme\AVPersonal\INFECTED\EALQDERBL.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.001
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.001 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.002
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.002 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.003
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.003 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.004
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.004 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.005
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.005 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.006
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.006 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.007
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.007 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.VIR
C:\Programme\AVPersonal\INFECTED\TCLBDFES.EXE.VIR infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027810.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027811.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027812.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027813.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027814.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027815.dll infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027818.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027819.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027820.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027821.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027822.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027823.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027826.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027827.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP91\A0027829.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028401.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028402.exe infected by "not-a-virus:AdWare.Gator.6034" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028403.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028404.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028405.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028406.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028407.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028408.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028409.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028410.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028411.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP93\A0028412.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.
… und nach alledem nochmal das Hijackthis-Log:
Logfile of HijackThis v1.99.0
Scan saved at 22:37:39, on 27.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Puh\Eigene Dateien\Downloads\hijackthis199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vr-web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {9067B962-5C07-4221-BDCA-29A681E0B8FA} - http://www.medionshop.de (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/043091fb1d8 ... 601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Das sind ja ellenlange Listen! Ich habe im Vorfeld auch schon versucht, zwei versteckte Ordner zu löschen: Davon nistet sich immer wieder der Ordner RECYCLER unter C: ein, und es gibt einen weiteren namens SYSTEM VOLUME INFORMATION, worauf mir der Zugriff verweigert wird, auch nachdem ich unter Ordnereigenschaften das VERSTECKT aufgehoben habe.
Vielen Dank für die weitere Hilfe und viele Grüße … Ingo
- Sauerlandpuh
- Beiträge: 9
- Registriert: 20.02.2005, 21:45
von Nikita am 02.03.2005, 13:08
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing" <---anklicken
bringe die pidlsp.dll von der linken auf die rechte Seite und loesche sie !!!!!!!!!!!!!!!!!!!!!!!
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
PC neustarten
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing" <---anklicken
bringe die pidlsp.dll von der linken auf die rechte Seite und loesche sie !!!!!!!!!!!!!!!!!!!!!!!
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
PC neustarten
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Sauerlandpuh am 07.03.2005, 13:56
Hallo, habe nun alles gemacht wie beschrieben. Beim Ausführen von LSPfix ist noch ein zweiter Protocol handler mit dem Namen rsvpsp.dll zu sehen ... soll ich den auch löschen?
RegSearch ist nun mit folgendem Ergebnis ...
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{7FF23285-DBBC-49B6-818C-34AC459D5BB3}" 06.03.2005 21:56:15
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid]
@="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}"
... das neue Hijackthos.Log ...
Logfile of HijackThis v1.99.0
Scan saved at 21:52:35, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Puh\Eigene Dateien\Downloads\hijackthis199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vr-web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {9067B962-5C07-4221-BDCA-29A681E0B8FA} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/043091fb1d8 ... 601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Die beiden Ordner RECYCLER und SYSTEM VOLUME INFORMATION sind immer noch auf den Laufwerken C: und D: vorhanden, auf den Ordner System Volume Information kann ich auf diesen beiden Laufwerken nicht zugreifen.
Jedoch habe ich ja einen ALDI-Rechner mit einer dritten Festplatte E:, wo sich auch der Ordner System Volume Information eingenistet hat. Hier kann ich nun folgende Informationen erhalten:
E:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP1\A0000003 und
E:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP1\change
Wie soll ich nun weiter vorgehen?
Vielen Dank für die Unterstützung und viele Grüße ...
Ingo
RegSearch ist nun mit folgendem Ergebnis ...
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{7FF23285-DBBC-49B6-818C-34AC459D5BB3}" 06.03.2005 21:56:15
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF23285-DBBC-49B6-818C-34AC459D5BB3}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pidd._URLHandler\Clsid]
@="{7FF23285-DBBC-49B6-818C-34AC459D5BB3}"
... das neue Hijackthos.Log ...
Logfile of HijackThis v1.99.0
Scan saved at 21:52:35, on 06.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\CmWatch.exe
C:\WINDOWS\system32\DTSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Puh\Eigene Dateien\Downloads\hijackthis199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vr-web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {9067B962-5C07-4221-BDCA-29A681E0B8FA} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/043091fb1d8 ... 601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
Die beiden Ordner RECYCLER und SYSTEM VOLUME INFORMATION sind immer noch auf den Laufwerken C: und D: vorhanden, auf den Ordner System Volume Information kann ich auf diesen beiden Laufwerken nicht zugreifen.
Jedoch habe ich ja einen ALDI-Rechner mit einer dritten Festplatte E:, wo sich auch der Ordner System Volume Information eingenistet hat. Hier kann ich nun folgende Informationen erhalten:
E:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP1\A0000003 und
E:\System Volume Information\_restore{6EB36849-8CF1-4BCA-80A5-4B22DAB94502}\RP1\change
Wie soll ich nun weiter vorgehen?
Vielen Dank für die Unterstützung und viele Grüße ...
Ingo
- Sauerlandpuh
- Beiträge: 9
- Registriert: 20.02.2005, 21:45
von Nikita am 07.03.2005, 17:12
Hallo@Sauerlandpuh
Der WinsockVirus ist weg
bitte nichts mehr loeschen.....
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps
[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
; Recreate the keys to avoid a restart
[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
-----------------------------------------------------------------------------------------
Der WinsockVirus ist weg
bitte nichts mehr loeschen.....
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps
[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
; Recreate the keys to avoid a restart
[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
-----------------------------------------------------------------------------------------
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Sauerlandpuh am 07.03.2005, 22:25
Hallo Nikita,
vielen Dank für Deine Hilfe ... auch wenn es in meinem Fall etwas länger gedauert hat
Kannst Du mir noch einige Tipps geben, wie ich meinen Rechner zukünftig sicherer machen kann???
Nochmals vielen vielen Dank für Deine Unterstützung + viele Grüße ... Ingo
vielen Dank für Deine Hilfe ... auch wenn es in meinem Fall etwas länger gedauert hat
Kannst Du mir noch einige Tipps geben, wie ich meinen Rechner zukünftig sicherer machen kann???
Nochmals vielen vielen Dank für Deine Unterstützung + viele Grüße ... Ingo
- Sauerlandpuh
- Beiträge: 9
- Registriert: 20.02.2005, 21:45
von Nikita am 07.03.2005, 22:31
surfe nur mit dem Firefox (Mozilla)--> Browser
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
(Mozilla)--> Browser
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
10 Beiträge • Seite 1 von 1
Ähnliche Themen
| Wie kann ich die Konsole in Mafia freischalten? Forum: Spiele-Probleme Autor: Anonymous Antworten: |
kann "DFÜ-Speed" einfach nicht herrunterladen Forum: Software-Hilfe Autor: maus Antworten: |
Kann nichts mehr installieren! Forum: Software-Hilfe Autor: Anonymous Antworten: |
wie kann mann denn nen film auf dem pc splitten? Forum: Software-Hilfe Autor: blase hase Antworten: |
DDR 256MB wie kann ich die Geschwindigkeit nicht herausbekom Forum: Hardware-Hilfe Autor: +Sniper+ Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste