Ich habe mir den TR/Agent.CD.2 und noch eine Menge weiterer Viren einfangen. Immer wenn ich jetzt den Internet-Explorer starte, kommt mir eine Flut von verschiedenen Viren entgegen. Ich habe die Viren alle auf einmal bekommen von einer Website. Hier noch die Weiteren Viren (kann sie nicht alle zählen= :
TR/Spy.Tofger.BI.2
TR/Dldr.WinSh.AC.02
TR/Spy.Tofger.BI.2
TR/Spy.Tofger.BI.2
TR/Dldr.Dyfuca.BH.3
Hier noch die Hijack Logfile :
Logfile of HijackThis v1.98.2
Scan saved at 18:36:42, on 23.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\programme\powerstrip\pstrip.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Program Files\Internet Optimizer\optimize.exe
D:\Programme\BullsEye Network\bin\bargains.exe
D:\Program Files\Windows TaskAd\WinTaskAd.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
D:\WINDOWS\System32\d?dplay.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\Program Files\Windows TaskAd\WinSched.exe
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Miranda IM\miranda32.exe
D:\Programme\teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Opera\Opera.exe
D:\Programme\Gemeinsame Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {ECD73148-4EC4-C0A6-2438-D236D5373BD8} - D:\WINDOWS\crii.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] D:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WebRebates0] D:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [nForce Tray Optionen] D:\WINDOWS\System32\SSTray.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Oowa] D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
O4 - HKCU\..\Run: [Ksrs] D:\WINDOWS\System32\d?dplay.exe
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... f64c271dfd
5b772fcfb344ed4d5f8217f7b03e9b7145eeb15c7b73869070b857bc819a
c1ca41787ff055d83fcb743482bfaec:0a002003c3f6d5950937c6314a45eb37
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28CD44-AE4C-4533-93B2-EE83F0D9EB9A}: NameServer = 217.237.151.225 217.237.150.225
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Bitte helft beim TR/Agent.CD.2 und weitere
6 Beiträge • Seite 1 von 1
von Nikita am 24.11.2004, 02:40
Hallo@Argon
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {ECD73148-4EC4-C0A6-2438-D236D5373BD8} - D:\WINDOWS\crii.dll
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] D:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WebRebates0] D:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKCU\..\Run: [Oowa] D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
O4 - HKCU\..\Run: [Ksrs] D:\WINDOWS\System32\d?dplay.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 1dfd5b.....
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
LOESCHE:
D:\Program Files\Windows TaskAd\WinTaskAd.exe
D:\Program Files\Windows TaskAd\WinSched.exe
D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
D:\WINDOWS\System32\d?dplay.exe
D:\programme\powerstrip\pstrip.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Program Files\Internet Optimizer\optimize.exe
D:\Programme\BullsEye Network\bin\bargains.exe
D:\Program Files\Windows TaskAd\WinTaskAd.exe
D:\Programme\Web_Rebates\WebRebates0.exe
D:\WINDOWS\crii.dll
D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
D:\WINDOWS\System32\d?dplay.exe
-->Beispiel/Löschen:
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
D:\WINDOWS\crii.dll
4.) PC neustarten
->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
--------------------------------------------------------------------------------------
--->ActiveX loeschen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und
Internet-Optionen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen
ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein
vertrauenswürdiges Programm handelt, reicht es in der Regel aus,
den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es . ...sind die 016-Eintraege im HijackThis...und alles Trojaner und Dialer 8in deinem Fall)
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.
Start<Ausfuehren<regedit
Danach schaue in der Registry, ob diese Eintraege weg sind..wenn nicht loeschen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
.05p.com
.blazefind.com
.clickspring.net
.flingstone.com
.mt-download.com
.my-internet.info
.scoobidoo.com
.searchbarcash.com
.searchmiracle.com
.slotch.com
.xxxtoolbar.com
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
deinstalliere fuer 15 Tage deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
dann stelle eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\lhcom.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {ECD73148-4EC4-C0A6-2438-D236D5373BD8} - D:\WINDOWS\crii.dll
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] D:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [WebRebates0] D:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKCU\..\Run: [Oowa] D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
O4 - HKCU\..\Run: [Ksrs] D:\WINDOWS\System32\d?dplay.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 1dfd5b.....
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
LOESCHE:
D:\Program Files\Windows TaskAd\WinTaskAd.exe
D:\Program Files\Windows TaskAd\WinSched.exe
D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
D:\WINDOWS\System32\d?dplay.exe
D:\programme\powerstrip\pstrip.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Program Files\Internet Optimizer\optimize.exe
D:\Programme\BullsEye Network\bin\bargains.exe
D:\Program Files\Windows TaskAd\WinTaskAd.exe
D:\Programme\Web_Rebates\WebRebates0.exe
D:\WINDOWS\crii.dll
D:\Dokumente und Einstellungen\Cleven\Anwendungsdaten\ntat.exe
D:\WINDOWS\System32\d?dplay.exe
-->Beispiel/Löschen:
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
D:\WINDOWS\crii.dll
4.) PC neustarten
->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
--------------------------------------------------------------------------------------
--->ActiveX loeschen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und
Internet-Optionen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen
ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein
vertrauenswürdiges Programm handelt, reicht es in der Regel aus,
den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es . ...sind die 016-Eintraege im HijackThis...und alles Trojaner und Dialer 8in deinem Fall)
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.
Start<Ausfuehren<regedit
Danach schaue in der Registry, ob diese Eintraege weg sind..wenn nicht loeschen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\blazefind.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\clickspring.net
.05p.com
.blazefind.com
.clickspring.net
.flingstone.com
.mt-download.com
.my-internet.info
.scoobidoo.com
.searchbarcash.com
.searchmiracle.com
.slotch.com
.xxxtoolbar.com
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
deinstalliere fuer 15 Tage deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
dann stelle eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Noch nicht ganz
von Argon am 24.11.2004, 20:12
Habe das mit dem ActiveX nicht gefunden. Habe den rest gelöscht, wie du gesagt hast. Danach war auch ruhig, aber nach erneutem neustart war die Startseite wieder anders und mein scanner hat wieder einen trojaner gefunden. Kannst du nochmal abchecken, was ich noch tun muss?
Danke im Vorraus
Argon
Die Log:
Logfile of HijackThis v1.98.2
Scan saved at 19:10:32, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\system32\appuo.exe
D:\temp\salm.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\mscr32.exe
D:\Programme\Miranda IM\miranda32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Opera\opera.exe
D:\Programme\Gemeinsame Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {18D1DEF0-1141-4BBF-AFF3-3007E6914762} - D:\WINDOWS\system32\mfcct.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [appuo.exe] D:\WINDOWS\system32\appuo.exe
O4 - HKLM\..\Run: [salm] d:\temp\salm.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [nForce Tray Optionen] D:\WINDOWS\System32\SSTray.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28CD44-AE4C-4533-93B2-EE83F0D9EB9A}: NameServer = 217.237.151.225 217.237.150.225
Danke im Vorraus
Argon
Die Log:
Logfile of HijackThis v1.98.2
Scan saved at 19:10:32, on 24.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\system32\appuo.exe
D:\temp\salm.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\mscr32.exe
D:\Programme\Miranda IM\miranda32.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Opera\opera.exe
D:\Programme\Gemeinsame Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {18D1DEF0-1141-4BBF-AFF3-3007E6914762} - D:\WINDOWS\system32\mfcct.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [appuo.exe] D:\WINDOWS\system32\appuo.exe
O4 - HKLM\..\Run: [salm] d:\temp\salm.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [nForce Tray Optionen] D:\WINDOWS\System32\SSTray.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28CD44-AE4C-4533-93B2-EE83F0D9EB9A}: NameServer = 217.237.151.225 217.237.150.225
- Argon
- Beiträge: 10
- Registriert: 22.10.2004, 00:46
von Nikita am 24.11.2004, 20:38
Hallo@Argon
1.Schritt:
<"cwsfix.reg" + "cwsserviceremove.reg" downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A
<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip
<AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
--> http://www.lavasoft.de/support/download/
---------------------------------------------------------------------------------
2.Schritt:
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc
suche und deaktiviere:
Network Security Service (NSS) -->(Service Status" klick "Stop"
---------------------------------------------------------------------------------
3.Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {18D1DEF0-1141-4BBF-AFF3-3007E6914762} - D:\WINDOWS\system32\mfcct.dll
O4 - HKLM\..\Run: [appuo.exe] D:\WINDOWS\system32\appuo.exe
O4 - HKLM\..\Run: [salm] d:\temp\salm.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
4. Schritt:
PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
5.Schritt:
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
oder manuell mit dem HijackThis (wie im anderen Thread erklaert)
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Loeschen:
D:\WINDOWS\system32\mfcct.dll
D:\WINDOWS\ptgrk.dll
D:\WINDOWS\mscr32.exe
D:\temp\salm.exe
D:\WINDOWS\system32\appuo.exe
D:\Programme\ISTsvc
D:\Program Files\Windows TaskAd
loeschen: alle
#Windows\Downloaded Programm Files
vor allem :
D:\WINDOWS\Downloaded Program Files\ISTactivex.dll
6. Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware. (zweimal)
7.Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
8.Schritt:
#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
deinstalliere fuer 15 Tage deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
#Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
1.Schritt:
<"cwsfix.reg" + "cwsserviceremove.reg" downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A
<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip
<AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
--> http://www.lavasoft.de/support/download/
---------------------------------------------------------------------------------
2.Schritt:
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc
suche und deaktiviere:
Network Security Service (NSS) -->(Service Status" klick "Stop"
---------------------------------------------------------------------------------
3.Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\ptgrk.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {18D1DEF0-1141-4BBF-AFF3-3007E6914762} - D:\WINDOWS\system32\mfcct.dll
O4 - HKLM\..\Run: [appuo.exe] D:\WINDOWS\system32\appuo.exe
O4 - HKLM\..\Run: [salm] d:\temp\salm.exe
O4 - HKLM\..\Run: [Windows TaskAd] D:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
4. Schritt:
PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
5.Schritt:
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
oder manuell mit dem HijackThis (wie im anderen Thread erklaert)
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
Loeschen:
D:\WINDOWS\system32\mfcct.dll
D:\WINDOWS\ptgrk.dll
D:\WINDOWS\mscr32.exe
D:\temp\salm.exe
D:\WINDOWS\system32\appuo.exe
D:\Programme\ISTsvc
D:\Program Files\Windows TaskAd
loeschen: alle
#Windows\Downloaded Programm Files
vor allem :
D:\WINDOWS\Downloaded Program Files\ISTactivex.dll
6. Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware. (zweimal)
7.Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
8.Schritt:
#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
deinstalliere fuer 15 Tage deinen Virenscanner und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
#Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Soweit alles gut Danke
von Argon am 25.11.2004, 16:41
Vielen Dank!!!!!!!
Sieht soweit alles sehr gut aus. Habe keine Meldung mehr bekommen und die Startseite wurde nicht mehr verändert. Ich weiss zwar nicht, warum ich eScan haben soll, aber das ist aber kein Problem. In der Software Liste unter Systemsteuerung werden noch die "bösen" Programme angezeigt (zB Bullseye Network), wie sieht es damit aus? Kann ich diese auch Entfernen/löschen auch noch entfernen?
Hier zur Sicherheit nochmal die Hijackthis Log:
Logfile of HijackThis v1.98.2
Scan saved at 15:37:53, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\eScan\TRAYSSER.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\PROGRA~1\eScan\avpm.exe
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\PROGRA~1\eScan\MAILSCAN.EXE
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\PROGRA~1\eScan\kavss.exe
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Miranda IM\miranda32.exe
D:\Programme\Opera\opera.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Gemeinsame Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28CD44-AE4C-4533-93B2-EE83F0D9EB9A}: NameServer = 217.237.151.225 217.237.150.225
Sieht soweit alles sehr gut aus. Habe keine Meldung mehr bekommen und die Startseite wurde nicht mehr verändert. Ich weiss zwar nicht, warum ich eScan haben soll, aber das ist aber kein Problem. In der Software Liste unter Systemsteuerung werden noch die "bösen" Programme angezeigt (zB Bullseye Network), wie sieht es damit aus? Kann ich diese auch Entfernen/löschen auch noch entfernen?
Hier zur Sicherheit nochmal die Hijackthis Log:
Logfile of HijackThis v1.98.2
Scan saved at 15:37:53, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\eScan\TRAYSSER.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\PROGRA~1\eScan\avpm.exe
D:\PROGRA~1\eScan\TRAYICOS.EXE
D:\PROGRA~1\eScan\AVPMWrap.EXE
D:\PROGRA~1\eScan\MAILDISP.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\eScan\SPOOLER.EXE
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\PROGRA~1\eScan\MAILSCAN.EXE
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
D:\PROGRA~1\eScan\kavss.exe
D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
D:\PROGRA~1\eScan\AvpM.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Miranda IM\miranda32.exe
D:\Programme\Opera\opera.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Gemeinsame Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.web.de/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMixerTray] D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F28CD44-AE4C-4533-93B2-EE83F0D9EB9A}: NameServer = 217.237.151.225 217.237.150.225
- Argon
- Beiträge: 10
- Registriert: 22.10.2004, 00:46
von Nikita am 25.11.2004, 16:55
Hallo @Argon
Natuerlich muessen alle Eintraege der Malware geloescht werden, unter Software und auch in der Registry.
Das Log ist sauber
Du kannst den eScan wieder deinstallieren. Und den Antivirus laden:
#Antivirus (free)
http://www.free-av.de/
Konfiguriere im Scanner UND im Guard:
<alle Dateien<
<Heuristik:-> mittel
und scanne noch mal alles durch.
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
nstallation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
Opera
mfg
Nikita
Natuerlich muessen alle Eintraege der Malware geloescht werden, unter Software und auch in der Registry.
Das Log ist sauber
Du kannst den eScan wieder deinstallieren. Und den Antivirus laden:
#Antivirus (free)
http://www.free-av.de/
Konfiguriere im Scanner UND im Guard:
<alle Dateien<
<Heuristik:-> mittel
und scanne noch mal alles durch.
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
nstallation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
Opera
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
6 Beiträge • Seite 1 von 1
Ähnliche Themen
| probs beim booten mit win 98 und bildschirm Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Probleme mit WinXP auf einem Laptop Amilo A beim Hochfahren Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
CPU-Auslastung beim Drucken Forum: Software-Hilfe Autor: Anonymous Antworten: |
PC hängt sich beim Runterladen mit flashget auf Forum: Software-Hilfe Autor: Anonymous Antworten: |
Probleme beim Installiern Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste