Temp\se.dll + TR/Dldr.Agent.BQ
24 Beiträge • Seite 1 von 2 • 1, 2
Temp\se.dll + TR/Dldr.Agent.BQ
von Nikita am 26.08.2004, 22:34
@Euerbenne
running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\ntyc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\System32\yycqksak.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
C:\WINDOWS\System32\jkfv.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {DA692D53-0117-E647-4FC9-E8D29D3E7D5F} - C:\WINDOWS\system32\ntmw32.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [awihjijodlrp] C:\WINDOWS\System32\yycqksak.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Arri] C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
O4 - HKCU\..\Run: [Nvbk] C:\WINDOWS\System32\jkfv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\ntyc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\System32\yycqksak.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
C:\WINDOWS\System32\jkfv.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {DA692D53-0117-E647-4FC9-E8D29D3E7D5F} - C:\WINDOWS\system32\ntmw32.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [awihjijodlrp] C:\WINDOWS\System32\yycqksak.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Arri] C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
O4 - HKCU\..\Run: [Nvbk] C:\WINDOWS\System32\jkfv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
Zuletzt geändert von Nikita am 09.03.2005, 13:46, insgesamt 2-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 26.08.2004, 22:43
scanne mit dem HijackThis, dann hake an, was ich poste und <fi<
dann sofort neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {DA692D53-0117-E647-4FC9-E8D29D3E7D5F} - C:\WINDOWS\system32\ntmw32.dll
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [awihjijodlrp] C:\WINDOWS\System32\yycqksak.exe
O4 - HKCU\..\Run: [Arri] C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
O4 - HKCU\..\Run: [Nvbk] C:\WINDOWS\System32\jkfv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
neustarten
Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
(poste dann das Ergebnis und loesche diese exe manuell)
C:\WINDOWS\ntyc.exe
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\System32\yycqksak.exe
C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
C:\WINDOWS\System32\jkfv.exe
C:\WINDOWS\system32\ntmw32.dll
#gehe in
Start<Ausfuehren<%temp% reinkopieren oder reinschreiben und loesche ALLE Temporary-Dateien
#Gehe in <Internetoptionen< und loesche die TemporaryInternetfiles
#Dann laedst du <eScan<(erstelle eine Datei c:\ base fuer den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#dann leadst du Antivirus
http://www.free-av.de/
nach dem Installationsscann konfigurierst du
<alle Dateien
<Heuristik:mittel
<Guard aktivieren
und machst einen Komplettscann
#Dann lade AdAware (free).....updaten und dann <alle Dateien< scannen
http://www.lavasoft.de/support/download/
#Spysweeper(free)
http://www.spysweeper.com/
scanne noch mal mit der mwav.exe und :
Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken<(wichtig, weil der DIALER manuell geloescht werden muss) gefunden wurde und postest das neue Log vom HijackThis noch mal. + den Infos von Kaspersky
(stelle vorher eine neue Startseite ein )
mfg
Nikita
dann sofort neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bclho.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {DA692D53-0117-E647-4FC9-E8D29D3E7D5F} - C:\WINDOWS\system32\ntmw32.dll
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [awihjijodlrp] C:\WINDOWS\System32\yycqksak.exe
O4 - HKCU\..\Run: [Arri] C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
O4 - HKCU\..\Run: [Nvbk] C:\WINDOWS\System32\jkfv.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
neustarten
Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
(poste dann das Ergebnis und loesche diese exe manuell)
C:\WINDOWS\ntyc.exe
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\System32\yycqksak.exe
C:\Dokumente und Einstellungen\Eishop\Anwendungsdaten\rmhl.exe
C:\WINDOWS\System32\jkfv.exe
C:\WINDOWS\system32\ntmw32.dll
#gehe in
Start<Ausfuehren<%temp% reinkopieren oder reinschreiben und loesche ALLE Temporary-Dateien
#Gehe in <Internetoptionen< und loesche die TemporaryInternetfiles
#Dann laedst du <eScan<(erstelle eine Datei c:\ base fuer den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#dann leadst du Antivirus
http://www.free-av.de/
nach dem Installationsscann konfigurierst du
<alle Dateien
<Heuristik:mittel
<Guard aktivieren
und machst einen Komplettscann
#Dann lade AdAware (free).....updaten und dann <alle Dateien< scannen
http://www.lavasoft.de/support/download/
#Spysweeper(free)
http://www.spysweeper.com/
scanne noch mal mit der mwav.exe und :
Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken<(wichtig, weil der DIALER manuell geloescht werden muss) gefunden wurde und postest das neue Log vom HijackThis noch mal. + den Infos von Kaspersky
(stelle vorher eine neue Startseite ein )
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 27.08.2004, 22:58
Logfile of HijackThis v1.98.0
Scan saved at 19:34:29, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\applw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\capture.INI:toaws
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {5A3E5C8D-F226-CCF0-347E-3AB510C1A210} - C:\WINDOWS\system32\iprl32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Ich denke mir, dass ich jetzt alle Scanner drüberlaufen hab lassen. e-scan findet immer eine Datei und Du schreibst, dass ich sie manuell löschen muss, doch ich komme da nicht ran. Sie ist im Verzeichnis Windows/downloaded programm files
Welche Protokolle Du brauchst, muss Du mir noch schreiben. Hab ich nicht so ganz kapiert.
Zum Problem selber: Die Startseite funktioniert wieder, doch es geht immer ein Pop up fenster auf. Und auch das Programm avwinsfx finde auch immer etwas beim eintritt ins Internet
Danke auch noch für den ersten Tipp
Gruß Andreas
Scan saved at 19:34:29, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\applw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\capture.INI:toaws
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {5A3E5C8D-F226-CCF0-347E-3AB510C1A210} - C:\WINDOWS\system32\iprl32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Ich denke mir, dass ich jetzt alle Scanner drüberlaufen hab lassen. e-scan findet immer eine Datei und Du schreibst, dass ich sie manuell löschen muss, doch ich komme da nicht ran. Sie ist im Verzeichnis Windows/downloaded programm files
Welche Protokolle Du brauchst, muss Du mir noch schreiben. Hab ich nicht so ganz kapiert.
Zum Problem selber: Die Startseite funktioniert wieder, doch es geht immer ein Pop up fenster auf. Und auch das Programm avwinsfx finde auch immer etwas beim eintritt ins Internet
Danke auch noch für den ersten Tipp
Gruß Andreas
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 27.08.2004, 23:13
Fixe
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {5A3E5C8D-F226-CCF0-347E-3AB510C1A210} - C:\WINDOWS\system32\iprl32.dll
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
neustarten
#Klicke bitte auf das < Computersymbol< , wenn es sich oeffnet, rechtsklick auf die Festplatte C:\
Dann klicke auf <Eigenschaften und waehle die Funktion <DiscClean< (in Deutsch wahrscheinlich Datentraeger-bereinigung<
Wenn der PC alles loeschbare durchgescannt hat, druecke auf <Ausfuehren<
Nun muessten die <Temporary-Ordner und <Download-Ordner geloescht sein.
Gehe in den abgesicherten Modus(das ist wichtig !)
Nun suche und loesche:(mit der Suchfunktion von Windows)...auch in <versteckten Ordnern suchen<
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\system32\iprl32.dll
Dann scanne mit deinem Antivirus (einstellen:alle Dateien< und <Heuristik:mittel)
und noch mal mit mwav.exe
Poste mir dann bitte, was die mwav.exe als<deleted< <no action taken<und <renamed< anzeigt.
und poste das neue Log noch mal.
mfg
Nikita
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {5A3E5C8D-F226-CCF0-347E-3AB510C1A210} - C:\WINDOWS\system32\iprl32.dll
O4 - HKLM\..\Run: [applw.exe] C:\WINDOWS\system32\applw.exe
neustarten
#Klicke bitte auf das < Computersymbol< , wenn es sich oeffnet, rechtsklick auf die Festplatte C:\
Dann klicke auf <Eigenschaften und waehle die Funktion <DiscClean< (in Deutsch wahrscheinlich Datentraeger-bereinigung<
Wenn der PC alles loeschbare durchgescannt hat, druecke auf <Ausfuehren<
Nun muessten die <Temporary-Ordner und <Download-Ordner geloescht sein.
Gehe in den abgesicherten Modus(das ist wichtig !)
Nun suche und loesche:(mit der Suchfunktion von Windows)...auch in <versteckten Ordnern suchen<
C:\WINDOWS\system32\applw.exe
C:\WINDOWS\system32\iprl32.dll
Dann scanne mit deinem Antivirus (einstellen:alle Dateien< und <Heuristik:mittel)
und noch mal mit mwav.exe
Poste mir dann bitte, was die mwav.exe als<deleted< <no action taken<und <renamed< anzeigt.
und poste das neue Log noch mal.
mfg
Nikita
Zuletzt geändert von Nikita am 28.08.2004, 16:21, insgesamt 1-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Euerbenne am 28.08.2004, 16:19
Logfile of HijackThis v1.98.0
Scan saved at 16:17:51, on 28.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\system32\winku32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis.zip\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {6E90692E-55AC-1995-F69B-76F46F229340} - C:\WINDOWS\javaax32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Hi nikita!
Irgendwie habe ich das Gefühl, dass der Rechner immer noch nicht sauber ist. Ich finde die datei windows\system32\iprl32.dll nicht. Das Programm e scan findet einen virus, der in dem Vrzeichniss downloaded program files sitzen soll, doch ich kann auf dieses Verzeichnis nicht zugreifen.
Vielleicht weißt Du ja weiter!
Gruß Andreas
Scan saved at 16:17:51, on 28.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\system32\winku32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis.zip\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {6E90692E-55AC-1995-F69B-76F46F229340} - C:\WINDOWS\javaax32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Hi nikita!
Irgendwie habe ich das Gefühl, dass der Rechner immer noch nicht sauber ist. Ich finde die datei windows\system32\iprl32.dll nicht. Das Programm e scan findet einen virus, der in dem Vrzeichniss downloaded program files sitzen soll, doch ich kann auf dieses Verzeichnis nicht zugreifen.
Vielleicht weißt Du ja weiter!
Gruß Andreas
- Euerbenne
- Beiträge: 5
- Registriert: 26.08.2004, 22:06
von Nikita am 28.08.2004, 16:33
Im Ordner Windows/Downloaded Program Files respektive WinNT/Downloaded
Program Files finden sich ActiveX Komponenten.
Dann klicke auf <Eigenschaften und waehle die Funktion <DiscClean< (in Deutsch wahrscheinlich Datentraegerbereinigung<
Wenn der PC alles loeschbare durchgescannt hat, druecke auf <Ausfuehren<
Nun muessten die <Temporary-Ordner und <Downloaded Program Files< geloescht sein.
_____________________________________________________
C:\WINDOWS\Downloaded Program Files\.......exe ist infiziert mit Trojan.StartPage
1.Loesche:
C:\WINDOWS\system32\winku32.exe
2. Ueberpruefe mit Kaspersky(poste das Ergebnis)
C:\WINDOWS\capture.INI:toaws
http://www.kaspersky.com/remoteviruschk.html
#AntiVir,
konfiguriere:
<Heuristic:hoch
<alle Dateien scannen<
<Guard aktivieren
und gehst in den abgesicherten Modus
www.bsi.de/av/texte/winsave.htm
Dort machst du einen Komplettscann.
#Lade AdAware (free)
www.lavasoft.de/support/download/
#Spybot
http://www.safer-networking.org/de/download/index.html
Lade dieses Tool
http://www.javacoolsoftware.com/sbdownload.html
(erkennt gefaehrliche ActiveX Komponenten.)
Dann scanne noch mal mit mwav.exe (alles im abgesicherten Modus
mfg
Nikita
Program Files finden sich ActiveX Komponenten.
Dann klicke auf <Eigenschaften und waehle die Funktion <DiscClean< (in Deutsch wahrscheinlich Datentraegerbereinigung<
Wenn der PC alles loeschbare durchgescannt hat, druecke auf <Ausfuehren<
Nun muessten die <Temporary-Ordner und <Downloaded Program Files< geloescht sein.
_____________________________________________________
C:\WINDOWS\Downloaded Program Files\.......exe ist infiziert mit Trojan.StartPage
1.Loesche:
C:\WINDOWS\system32\winku32.exe
2. Ueberpruefe mit Kaspersky(poste das Ergebnis)
C:\WINDOWS\capture.INI:toaws
http://www.kaspersky.com/remoteviruschk.html
#AntiVir,
konfiguriere:
<Heuristic:hoch
<alle Dateien scannen<
<Guard aktivieren
und gehst in den abgesicherten Modus
www.bsi.de/av/texte/winsave.htm
Dort machst du einen Komplettscann.
#Lade AdAware (free)
www.lavasoft.de/support/download/
#Spybot
http://www.safer-networking.org/de/download/index.html
Lade dieses Tool
http://www.javacoolsoftware.com/sbdownload.html
(erkennt gefaehrliche ActiveX Komponenten.)
Dann scanne noch mal mit mwav.exe (alles im abgesicherten Modus
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 28.08.2004, 17:12
28.08.2004,07:47:34 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,07:50:02 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,08:13:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,08:35:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,09:10:35 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,11:29:17 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,12:37:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,12:38:25 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,13:08:03 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,14:12:09 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,14:17:55 [INFO] Stop Filter Device.
28.08.2004,14:17:56 [EXIT] Der AVGuard Dienst wurde beendet!
28.08.2004,14:19:05 ---------------------------------------------------------
28.08.2004,14:19:05 [INIT] Der AVGuard Service wird gestarted.
28.08.2004,14:19:17 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
28.08.2004,14:19:20 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
28.08.2004,14:19:20 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa58ad.
28.08.2004,14:19:21 [INFO] Start Filter Device.
28.08.2004,14:19:21 [INIT] AntiVirService Version: 6.27.00.02 AVE Version 6.27.0.4 VDF Version: 6.27.0.35
28.08.2004,14:19:21 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
28.08.2004,14:22:46 [INFO] Stop Filter Device.
28.08.2004,14:22:46 [EXIT] Der AVGuard Dienst wurde beendet!
28.08.2004,16:16:14 ---------------------------------------------------------
28.08.2004,16:16:14 [INIT] Der AVGuard Service wird gestarted.
28.08.2004,16:16:15 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
28.08.2004,16:16:23 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
28.08.2004,16:16:23 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa7209.
28.08.2004,16:16:29 [INFO] Start Filter Device.
28.08.2004,16:16:29 [INIT] AntiVirService Version: 6.27.00.02 AVE Version 6.27.0.4 VDF Version: 6.27.0.35
28.08.2004,16:16:29 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
28.08.2004,16:18:08 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:16 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,16:18:45 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\UNWISE32.EXE:NQECR
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:44 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:49 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.AP.1!
C:\WINDOWS\CLAAS TRAKTOREN.EXE:SGKNM
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:52 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,16:23:26 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\UNWISE32.EXE:NQECR
[INFO] Die Datei wurde gelöscht!
28.08.2004,16:24:32 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:24:48 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.AP.1!
C:\WINDOWS\CLAAS TRAKTOREN.EXE:SGKNM
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:25:01 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,07:50:02 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,08:13:08 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,08:35:30 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,09:10:35 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,11:29:17 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,12:37:28 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,12:38:25 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,13:08:03 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02!
C:\WINDOWS\2003 R1.EXE:YUCMH
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,14:12:09 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\YWQCD.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,14:17:55 [INFO] Stop Filter Device.
28.08.2004,14:17:56 [EXIT] Der AVGuard Dienst wurde beendet!
28.08.2004,14:19:05 ---------------------------------------------------------
28.08.2004,14:19:05 [INIT] Der AVGuard Service wird gestarted.
28.08.2004,14:19:17 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
28.08.2004,14:19:20 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
28.08.2004,14:19:20 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa58ad.
28.08.2004,14:19:21 [INFO] Start Filter Device.
28.08.2004,14:19:21 [INIT] AntiVirService Version: 6.27.00.02 AVE Version 6.27.0.4 VDF Version: 6.27.0.35
28.08.2004,14:19:21 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
28.08.2004,14:22:46 [INFO] Stop Filter Device.
28.08.2004,14:22:46 [EXIT] Der AVGuard Dienst wurde beendet!
28.08.2004,16:16:14 ---------------------------------------------------------
28.08.2004,16:16:14 [INIT] Der AVGuard Service wird gestarted.
28.08.2004,16:16:15 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
28.08.2004,16:16:23 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
28.08.2004,16:16:23 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa7209.
28.08.2004,16:16:29 [INFO] Start Filter Device.
28.08.2004,16:16:29 [INIT] AntiVirService Version: 6.27.00.02 AVE Version 6.27.0.4 VDF Version: 6.27.0.35
28.08.2004,16:16:29 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
28.08.2004,16:18:08 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:16 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,16:18:45 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\UNWISE32.EXE:NQECR
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:44 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:49 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.AP.1!
C:\WINDOWS\CLAAS TRAKTOREN.EXE:SGKNM
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:18:52 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
28.08.2004,16:23:26 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\UNWISE32.EXE:NQECR
[INFO] Die Datei wurde gelöscht!
28.08.2004,16:24:32 [WARNUNG] Ist das Trojanische Pferd TR/Spy.Tofger.BI.2!
C:\WINDOWS\EXPLORER.EXE:QUDLI
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:24:48 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.AP.1!
C:\WINDOWS\CLAAS TRAKTOREN.EXE:SGKNM
Die Datei konnte nicht in das Quarantäneverzeichnis [FEHLER] verschoben werden!
0x0000007b - Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichnung ist falsch.
28.08.2004,16:25:01 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Agent.BQ!
C:\WINDOWS\QCTVA.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 28.08.2004, 17:21
Hallo @Euerbenne
#Dann laedst du <eScan<(erstelle vorher eine Datei c:\ base fuer den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
Gehe in den abgesicherten Modus
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
Poste dann bitte das Virenlog.
mfg
Nikita
#Dann laedst du <eScan<(erstelle vorher eine Datei c:\ base fuer den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
Gehe in den abgesicherten Modus
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
Poste dann bitte das Virenlog.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Die Startseite passt wieder. Doch es gehen immer wieder pop
von Euerbenne am 31.08.2004, 15:08
pop ups auf.
Die Datei kavupd.exe finde ich nicht
Wo finde ich denn den Virenlog in e scan?
Ich hoffe ich werde nicht zu "überlästig" doch ich würde mich freuen, wenn Du dich wieder meldest
Gruß Andreas
Logfile of HijackThis v1.98.0
Scan saved at 15:08:43, on 31.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\javask.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 22 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {511772E1-75C6-5DE3-D557-4CC3A6CA3F3B} - C:\WINDOWS\system32\javans32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javask.exe] C:\WINDOWS\javask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Die Datei kavupd.exe finde ich nicht
Wo finde ich denn den Virenlog in e scan?
Ich hoffe ich werde nicht zu "überlästig" doch ich würde mich freuen, wenn Du dich wieder meldest
Gruß Andreas
Logfile of HijackThis v1.98.0
Scan saved at 15:08:43, on 31.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\javask.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 22 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {511772E1-75C6-5DE3-D557-4CC3A6CA3F3B} - C:\WINDOWS\system32\javans32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javask.exe] C:\WINDOWS\javask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
- Euerbenne
- Beiträge: 5
- Registriert: 26.08.2004, 22:06
von Nikita am 31.08.2004, 15:28
Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {511772E1-75C6-5DE3-D557-4CC3A6CA3F3B} - C:\WINDOWS\system32\javans32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javask.exe] C:\WINDOWS\javask.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
NEUSTARTEN
1. ) Loesche unter <Internetoptionen< die TemporaryInternetfiles (auch die Offline)
1.1.) loesche:
C:\WINDOWS\javask.exe
C:\WINDOWS\system32\javans32.dll
2. Deinstalliere
C:\Programme\Spyware Doctor\spydoctor.exe
und loesche alles, was damit zu tun hat.
3. suche die "kavupd.exe"
a) in dem Ordner, den du erstellen solltest (c:\base)
b) mit der Suchfunktion von Windows
(<alle Dateien, auch versteckten suchen< einstellen)
c) in Start<Ausfuehren %temp% (reinkopieren)
Wenn du diese "kavupd.exe" anklickst, oeffnet sich ein schwarzes DOS-Fenster.
und der Virenscanner wird automatisch aktualisiert.
Dann gehe in den abgesicherten Modus (wichtig)
www.bsi.de/av/texte/winsave.htm
#und suche mwav.exe
Das ist der eigentliche Scanner.
Setze alle Haeckchen und klicke : Clean-Scan.
#scanne auch im abgesicherten Modus noch mal mit Antivirus
____________________________________________________
wieder im Normalmodus:
stelle unter <Internetoptionen< eine neue Startseite ein, oder nimm die Default, von Microsoft .
dann poste das neue Log noch mal.(aktiviere vorher unter <Optionen< vom Antivirus den Guard, damit er im Autostart\Taskleiste unten rechts als aufgespannter Regenschirm erscheint)
mfg
Nikita
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\spfxa.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {511772E1-75C6-5DE3-D557-4CC3A6CA3F3B} - C:\WINDOWS\system32\javans32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javask.exe] C:\WINDOWS\javask.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
NEUSTARTEN
1. ) Loesche unter <Internetoptionen< die TemporaryInternetfiles (auch die Offline)
1.1.) loesche:
C:\WINDOWS\javask.exe
C:\WINDOWS\system32\javans32.dll
2. Deinstalliere
C:\Programme\Spyware Doctor\spydoctor.exe
und loesche alles, was damit zu tun hat.
3. suche die "kavupd.exe"
a) in dem Ordner, den du erstellen solltest (c:\base)
b) mit der Suchfunktion von Windows
(<alle Dateien, auch versteckten suchen< einstellen)
c) in Start<Ausfuehren %temp% (reinkopieren)
Wenn du diese "kavupd.exe" anklickst, oeffnet sich ein schwarzes DOS-Fenster.
und der Virenscanner wird automatisch aktualisiert.
Dann gehe in den abgesicherten Modus (wichtig)
www.bsi.de/av/texte/winsave.htm
#und suche mwav.exe
Das ist der eigentliche Scanner.
Setze alle Haeckchen und klicke : Clean-Scan.
#scanne auch im abgesicherten Modus noch mal mit Antivirus
____________________________________________________
wieder im Normalmodus:
stelle unter <Internetoptionen< eine neue Startseite ein, oder nimm die Default, von Microsoft .
dann poste das neue Log noch mal.(aktiviere vorher unter <Optionen< vom Antivirus den Guard, damit er im Autostart\Taskleiste unten rechts als aufgespannter Regenschirm erscheint)
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Ich habe das Gefühl, dass es immer noch nicht klappt!
von Euerbenne am 02.09.2004, 20:09
Logfile of HijackThis v1.98.0
Scan saved at 20:09:06, on 02.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\system32\appfb32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 22 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appfb32.exe] C:\WINDOWS\system32\appfb32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: kavupd.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Die Datei C:\Windows\system32\javans.exe habe ich nicht gefunden!
Sonst habe ich alles so gemacht, wie Du gesagt hast. Vielleicht kannst Du mir ja noch einen Tip geben (vielleicht brauche ich doch noch zwei )
Gruß Andreas
Scan saved at 20:09:06, on 02.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\system32\appfb32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 22 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appfb32.exe] C:\WINDOWS\system32\appfb32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: kavupd.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Die Datei C:\Windows\system32\javans.exe habe ich nicht gefunden!
Sonst habe ich alles so gemacht, wie Du gesagt hast. Vielleicht kannst Du mir ja noch einen Tip geben (vielleicht brauche ich doch noch zwei
)
Gruß Andreas
- Euerbenne
- Beiträge: 5
- Registriert: 26.08.2004, 22:06
von Nikita am 02.09.2004, 22:53
Wichtigster Tip:
Aktualisiere dein Windows (Updates !)
und damit auch den IE
http://www.microsoft.com/downloads/deta ... B602228DE6
du hast den Trojaner weiterhin auf der Platte !!!!!
fixe:
F0 - system.ini: Shell=
O4 - HKLM\..\Run: [appfb32.exe] C:\WINDOWS\system32\appfb32.exe
O4 - Global Startup: kavupd.exe
neustarten
Loesche:
C:\WINDOWS\system32\appfb32.exe
ueberpruefe
C:\WINDOWS\capture.INI:toaws (weisst du , was das ist ???)
http://www.klatho.com/produkte/capture/
#scanne noch mal mit der mwav.exe und poste mir das Virenlog und das neue HikackThis noch mal.
Wenn du den Trojaner nicht wegbekommst, musst du Windows neu installieren
mfg
Nikita
Aktualisiere dein Windows (Updates !)
und damit auch den IE
http://www.microsoft.com/downloads/deta ... B602228DE6
du hast den Trojaner weiterhin auf der Platte !!!!!
fixe:
F0 - system.ini: Shell=
O4 - HKLM\..\Run: [appfb32.exe] C:\WINDOWS\system32\appfb32.exe
O4 - Global Startup: kavupd.exe
neustarten
Loesche:
C:\WINDOWS\system32\appfb32.exe
ueberpruefe
C:\WINDOWS\capture.INI:toaws (weisst du , was das ist ???)
http://www.klatho.com/produkte/capture/
#scanne noch mal mit der mwav.exe und poste mir das Virenlog und das neue HikackThis noch mal.
Wenn du den Trojaner nicht wegbekommst, musst du Windows neu installieren
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 03.09.2004, 23:45
Logfile of HijackThis v1.98.0
Scan saved at 18:26:50, on 03.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\appkm.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 24 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\appkm.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Irgendwie ist das schon verhext. Was heißt Windows neu Installieren. Kann ich da einfach drüberinstallieren?
Vielleicht hast Du ja noch ein paar Tips auf lager. Auf alle Fälle danke mal für alles.
Gruß Andreas
Scan saved at 18:26:50, on 03.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\appkm.exe
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 24 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\appkm.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Irgendwie ist das schon verhext. Was heißt Windows neu Installieren. Kann ich da einfach drüberinstallieren?
Vielleicht hast Du ja noch ein paar Tips auf lager. Auf alle Fälle danke mal für alles.
Gruß Andreas
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 03.09.2004, 23:51
Fuehre ganz genau aus, was ich schreibe:
Fixe:
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\appkm.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
neustarten
#Loesche:
C:\WINDOWS\appkm.exe
#Loesche den Inhalt dieser Ordner (nicht die Ordner selbst, nur den Inhalt (!)
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Recent\*.*
C:\Dokumente und Einstellungen\Username\Cookies\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Username\Recent\*.*
C:\Dokumente und Einstellungen\LocalService\Cookies
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\*.*
C:\D앯kumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Cookies\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XEZWTUZ\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\WINDOWS\Internet Logs\*.txt ( Alle Textdateien )
lade diesen Scanner und gehe in den abgesicherten Modus(F8 druecken, wenn der PC hochfaehrt)
dort mache einen Vollscann mit dem Scanner
http://www.f-prot.com/download/home_use ... fpwin.html
Dann poste das Log noch mal.
mfg
Nikita
Fixe:
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
O2 - BHO: (no name) - {D300964A-6315-E22B-E5B5-16768794DF6D} - C:\WINDOWS\netgn32.dll
O4 - HKLM\..\Run: [appkm.exe] C:\WINDOWS\appkm.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
neustarten
#Loesche:
C:\WINDOWS\appkm.exe
#Loesche den Inhalt dieser Ordner (nicht die Ordner selbst, nur den Inhalt (!)
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Recent\*.*
C:\Dokumente und Einstellungen\Username\Cookies\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Username\Recent\*.*
C:\Dokumente und Einstellungen\LocalService\Cookies
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\*.*
C:\D앯kumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Cookies\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4XEZWTUZ\*.*
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\*.*
C:\WINDOWS\Internet Logs\*.txt ( Alle Textdateien )
lade diesen Scanner und gehe in den abgesicherten Modus(F8 druecken, wenn der PC hochfaehrt)
dort mache einen Vollscann mit dem Scanner
http://www.f-prot.com/download/home_use ... fpwin.html
Dann poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Jetzt habe ich wieder alles so gemacht...
von Euerbenne am 04.09.2004, 13:16
Logfile of HijackThis v1.98.0
Scan saved at 13:19:01, on 04.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D7E7CCE3-E897-0FF8-81D6-3F27EA1CA24E} - C:\WINDOWS\system32\atlwp32.dll (file missing)
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Jetzt war ich kurz im Internet, und ich dachte mir, dass es jetzt funktioniert. Doch schaue lieber selbst nach ....
Gruß Andreas
Scan saved at 13:19:01, on 04.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\capture.INI:toaws
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Eishop\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {D7E7CCE3-E897-0FF8-81D6-3F27EA1CA24E} - C:\WINDOWS\system32\atlwp32.dll (file missing)
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
Jetzt war ich kurz im Internet, und ich dachte mir, dass es jetzt funktioniert. Doch schaue lieber selbst nach ....
Gruß Andreas
- Euerbenne
- Beiträge: 5
- Registriert: 26.08.2004, 22:06
24 Beiträge • Seite 1 von 2 • 1, 2
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste