Hallo
bisher war ich begeisteter Leser in diesem Forum und habe mir einige wertvolle Tipps geholt.
Leider komme ich nun nicht mehr weiter.
Mein AntiVir bringt immer die Meldung das ich einen Trojaner auf meinem Rechner habe. Nun besteht das Problem das ich ihn nicht mehr loswerde. Verschiedene Angriffe meinerseits auf dem Trojaner brachten keinen Erfolg.
Nun habe ich mal das Logfile rauskopiert und hoffe das mir jemand helfen kann.
Eine Google Suche führte bei meinem Problem auch zu keinem Ergebniss.
Logfile of HijackThis v1.99.0
Scan saved at 07:14:26, on 22.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\JupitCo.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\polidc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\CxtPls\CxtPls.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Fam Alt\Eigene Dateien\hijackthis199_beta\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
R3 - URLSearchHook: (no name) - _{514E5BDD-28DD-57FA-EA8E-9627AA423704} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\plg0\cxtpls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {A2082410-0581-E716-33D2-7828995C915F} - C:\WINDOWS\Qbfwaooq.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Search - {A3D509AA-DA69-2269-53FA-F3044C646282} - C:\WINDOWS\Qbfwaooq.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [rsnX39S] polidc32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [kW4ca] C:\WINDOWS\ovhvvwif.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [aB47RVe2i] pnc_ps.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [prutcct] C:\WINDOWS\System32\prutcct.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1063 (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0)
O17 - HKLM\System\CCS\Services\Tcpip\..\{711DF60D-D114-44C7-8EFC-741AF40BD03B}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Dldr.IstBar.GO
7 Beiträge • Seite 1 von 1
von miezmutz am 27.12.2004, 01:38
den Beitrag muß nikita wohl übersehen haben, ich schubs ihn mal wieder nach vorn...
- miezmutz
- Moderator a. D.
- Beiträge: 2412
- Registriert: 19.07.2004, 13:04
- Wohnort: Rendsburg
von Nikita am 27.12.2004, 02:26
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{514E5BDD-28DD-57FA-EA8E-9627AA423704} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\plg0\cxtpls.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {A2082410-0581-E716-33D2-7828995C915F} - C:\WINDOWS\Qbfwaooq.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Search - {A3D509AA-DA69-2269-53FA-F3044C646282} - C:\WINDOWS\Qbfwaooq.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [rsnX39S] polidc32.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [kW4ca] C:\WINDOWS\ovhvvwif.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [aB47RVe2i] pnc_ps.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [prutcct] C:\WINDOWS\System32\prutcct.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1063 (file missing)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0)
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
NEWDOT
lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die "newdotnet6_38.dll"
von der linken auf die rechte Seite und loesche sie.
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\bxxs5.dll
C:\Programme\E2G\IeBHOs.dll
C:\WINDOWS\System32\msbe.dll
C:\WINDOWS\System32\nvms.dll
C:\Programme\CxtPls\plg0\cxtpls.dll
C:\Programme\E2G\IeBHOs.dll
C:\Programme\SideFind\sfbho.dll
C:\Programme\SideFind\sidefind.dll
C:\WINDOWS\Qbfwaooq.dll
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\ovhvvwif.exe
C:\WINDOWS\System32\prutcct.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\QuickSearch\QuickSearchBar1_27.dll
C:\WINDOWS\System32\polidc32.exe
C:\Programme\NaviSearch\bin\nls.exe
PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Loesche:
C:\Program Files\AutoUpdate\
C:\PROGRA~1\COMMON~1\tsa
c:\programme\180solutions
C:\Programme\SideFind\
C:\Programme\BullsEye Network\
C:\Programme\QuickSearch\
C:\Programme\NaviSearch\
C:\Program Files\AutoUpdate\
C:\Programme\CxtPls\
pnc_ps.exe
polidc32.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
gehe wieder in den Normalmodus
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
#eScan-Erkennungstool
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{514E5BDD-28DD-57FA-EA8E-9627AA423704} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\plg0\cxtpls.dll
O2 - BHO: CControl Object - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\Programme\E2G\IeBHOs.dll (file missing)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {A2082410-0581-E716-33D2-7828995C915F} - C:\WINDOWS\Qbfwaooq.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Search - {A3D509AA-DA69-2269-53FA-F3044C646282} - C:\WINDOWS\Qbfwaooq.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [rsnX39S] polidc32.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [kW4ca] C:\WINDOWS\ovhvvwif.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [aB47RVe2i] pnc_ps.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - HKCU\..\Run: [prutcct] C:\WINDOWS\System32\prutcct.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Your PC is infected with Spyware - click here to fix your PC - {FB74C951-ACA1-4e33-A94C-A9261EB2CCB7} - https://www.spydeleter.com/order2.php?KBID=1063 (file missing)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0)
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
NEWDOT
lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
bringe die "newdotnet6_38.dll"
von der linken auf die rechte Seite und loesche sie.
Lade die Killbox:
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\bxxs5.dll
C:\Programme\E2G\IeBHOs.dll
C:\WINDOWS\System32\msbe.dll
C:\WINDOWS\System32\nvms.dll
C:\Programme\CxtPls\plg0\cxtpls.dll
C:\Programme\E2G\IeBHOs.dll
C:\Programme\SideFind\sfbho.dll
C:\Programme\SideFind\sidefind.dll
C:\WINDOWS\Qbfwaooq.dll
C:\Program Files\AutoUpdate\AutoUpdate.exe
C:\WINDOWS\ovhvvwif.exe
C:\WINDOWS\System32\prutcct.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\QuickSearch\QuickSearchBar1_27.dll
C:\WINDOWS\System32\polidc32.exe
C:\Programme\NaviSearch\bin\nls.exe
PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Loesche:
C:\Program Files\AutoUpdate\
C:\PROGRA~1\COMMON~1\tsa
c:\programme\180solutions
C:\Programme\SideFind\
C:\Programme\BullsEye Network\
C:\Programme\QuickSearch\
C:\Programme\NaviSearch\
C:\Program Files\AutoUpdate\
C:\Programme\CxtPls\
pnc_ps.exe
polidc32.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
gehe wieder in den Normalmodus
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
#eScan-Erkennungstool
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Sturmi am 28.12.2004, 16:29
Tue Dec 28 14:09:16 2004 => File C:\WINDOWS\kmtbc.exe infected by "Backdoor.Win32.Agent.bg" Virus. Action Taken: File Renamed.
Tue Dec 28 14:09:39 2004 => File C:\WINDOWS\ovhvvwif.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: File Deleted.
Tue Dec 28 14:16:52 2004 => File C:\WINDOWS\system32\kjberup.exe infected by "Trojan.Win32.SecondThought.as" Virus. Action Taken: File Deleted.
Tue Dec 28 14:19:38 2004 => File C:\WINDOWS\Zrps.exe infected by "Backdoor.Win32.Agent.bg" Virus. Action Taken: File Renamed.
Tue Dec 28 14:19:45 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Agent.az" Virus. Action Taken: File Deleted.
Tue Dec 28 14:19:54 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer5.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Tue Dec 28 14:19:55 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eXactAdvertisingBargainsBuddy1.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Tue Dec 28 14:35:34 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Eigene Dateien\hijackthis1982\backups\backup-20041228-123043-245.dll infected by "Trojan-Downloader.Win32.Envolo.a" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:27 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\bOYfFM.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:28 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\dMLTrM.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:32 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\rHtlGc.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:33 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\RTvGLX.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:36 2004 => Scanning File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5W04VIE7\infected6xz[1].gif [**]
Tue Dec 28 14:42:08 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: File Deleted.
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\prutcct.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\prutcct.VIR infected by "Trojan.Win32.VB.qn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\SIDEFIND.EXE.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\SIDEFIND.EXE.VIR infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
Tue Dec 28 14:43:47 2004 => File C:\Programme\common files\tsa\tsp2.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:45 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000047.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000061.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000072.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000074.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:06:38 2004 => File E:\WINDOWS\system32\cdaccess.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:06:44 2004 => File E:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\692RW9MF\lca3[1].exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:12:11 2004 => File E:\WINDOWS\system32\scvhost32d.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:24 2004 => File E:\WINDOWS\system32\SystemReg16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:27 2004 => File E:\WINDOWS\system32\TFTP2988 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:53 2004 => ***** Scanning complete. *****
Tue Dec 28 15:12:53 2004 => Total Number of Files Scanned: 55132
Tue Dec 28 15:12:53 2004 => Total Number of Virus(es) Found: 37
Tue Dec 28 15:12:54 2004 => Total Number of Disinfected Files: 0
Tue Dec 28 15:12:54 2004 => Total Number of Files Renamed: 8
Tue Dec 28 15:12:54 2004 => Total Number of Deleted Files: 17
Tue Dec 28 15:12:54 2004 => Total Number of Errors: 5
Tue Dec 28 15:12:54 2004 => Time Elapsed: 01:08:04
Tue Dec 28 15:12:54 2004 => Virus Database Date: 2004/12/28
Tue Dec 28 15:12:54 2004 => Virus Database Count: 113997
Tue Dec 28 15:12:54 2004 => Scan Completed.
Tue Dec 28 15:13:21 2004 => Virus Database Date: 2004/12/28
Tue Dec 28 15:13:21 2004 => Virus Database Count: 113997
Tue Dec 28 15:13:31 2004 => AV Library Unloaded (3)...
Wenn ich das alles sehe mit was der Rechner befallen ist.
Und ich dachte mir mit einer Firewall und einen aktuellen Antivir ist man auf der sicheren Seite.
Vielen Dank schon mal für die Hilfe.
Tue Dec 28 14:09:39 2004 => File C:\WINDOWS\ovhvvwif.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: File Deleted.
Tue Dec 28 14:16:52 2004 => File C:\WINDOWS\system32\kjberup.exe infected by "Trojan.Win32.SecondThought.as" Virus. Action Taken: File Deleted.
Tue Dec 28 14:19:38 2004 => File C:\WINDOWS\Zrps.exe infected by "Backdoor.Win32.Agent.bg" Virus. Action Taken: File Renamed.
Tue Dec 28 14:19:45 2004 => File C:\counter.cab infected by "TrojanDropper.Win32.Agent.az" Virus. Action Taken: File Deleted.
Tue Dec 28 14:19:54 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DyFuCAInternetOptimizer5.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Tue Dec 28 14:19:55 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\eXactAdvertisingBargainsBuddy1.zip infected by "Password-protected-EXE" Virus. Action Taken: File Renamed.
Tue Dec 28 14:35:34 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Eigene Dateien\hijackthis1982\backups\backup-20041228-123043-245.dll infected by "Trojan-Downloader.Win32.Envolo.a" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:27 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\bOYfFM.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:28 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\dMLTrM.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:32 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\rHtlGc.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:33 2004 => File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp\RTvGLX.exe infected by "Trojan-Downloader.Win32.IstBar.gn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:40:36 2004 => Scanning File C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5W04VIE7\infected6xz[1].gif [**]
Tue Dec 28 14:42:08 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\OPTIMIZE.EXE.VIR infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: File Deleted.
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\prutcct.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\prutcct.VIR infected by "Trojan.Win32.VB.qn" Virus. Action Taken: File Deleted.
Tue Dec 28 14:42:09 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\SIDEFIND.EXE.VIR
Tue Dec 28 14:42:09 2004 => File C:\Programme\AVPersonal\INFECTED\SIDEFIND.EXE.VIR infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
Tue Dec 28 14:43:47 2004 => File C:\Programme\common files\tsa\tsp2.exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:45 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000047.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000061.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000072.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:02:46 2004 => File E:\System Volume Information\_restore{D8BA634C-9439-44DF-9125-AAF873EFCDCD}\RP2\A0000074.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:06:38 2004 => File E:\WINDOWS\system32\cdaccess.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:06:44 2004 => File E:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\692RW9MF\lca3[1].exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: File Deleted.
Tue Dec 28 15:12:11 2004 => File E:\WINDOWS\system32\scvhost32d.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:24 2004 => File E:\WINDOWS\system32\SystemReg16.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:27 2004 => File E:\WINDOWS\system32\TFTP2988 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: File Renamed.
Tue Dec 28 15:12:53 2004 => ***** Scanning complete. *****
Tue Dec 28 15:12:53 2004 => Total Number of Files Scanned: 55132
Tue Dec 28 15:12:53 2004 => Total Number of Virus(es) Found: 37
Tue Dec 28 15:12:54 2004 => Total Number of Disinfected Files: 0
Tue Dec 28 15:12:54 2004 => Total Number of Files Renamed: 8
Tue Dec 28 15:12:54 2004 => Total Number of Deleted Files: 17
Tue Dec 28 15:12:54 2004 => Total Number of Errors: 5
Tue Dec 28 15:12:54 2004 => Time Elapsed: 01:08:04
Tue Dec 28 15:12:54 2004 => Virus Database Date: 2004/12/28
Tue Dec 28 15:12:54 2004 => Virus Database Count: 113997
Tue Dec 28 15:12:54 2004 => Scan Completed.
Tue Dec 28 15:13:21 2004 => Virus Database Date: 2004/12/28
Tue Dec 28 15:13:21 2004 => Virus Database Count: 113997
Tue Dec 28 15:13:31 2004 => AV Library Unloaded (3)...
Wenn ich das alles sehe mit was der Rechner befallen ist.
Und ich dachte mir mit einer Firewall und einen aktuellen Antivir ist man auf der sicheren Seite.
Vielen Dank schon mal für die Hilfe.
- Sturmi
- Beiträge: 3
- Registriert: 22.12.2004, 08:16
von Nikita am 28.12.2004, 16:46
du bist noch nicht fertig
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Start<Ausfuehren -->schreib rein: cmd
DOS oeffnet sich
kopiere rein:
del C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp
bestaetige mit "Y"
versuch mal, ob das funktioniert...denn der Scanner hat die exe umbenannt:
del E:\WINDOWS\system32\cdaccess.exe
klicke "enter"
del C:\WINDOWS\Zrps.exe
klicke "enter"
--------------------------------------------------------------------------------------------------
gehe in den abgesicherten Modus und mache einen Komplettscann mit
Antivirus -->poste mir bitte das Scan-Log
konfiguriere:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
gehe wieder in den Normalmodus:
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
und poste zusammen mit dem Scanlog vom Antivirus das neue Log vom HijackThis
Tip:
surfe nicht mehr mit dem IE
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Start<Ausfuehren -->schreib rein: cmd
DOS oeffnet sich
kopiere rein:
del C:\Dokumente und Einstellungen\Fam Alt\Lokale Einstellungen\Temp
bestaetige mit "Y"
versuch mal, ob das funktioniert...denn der Scanner hat die exe umbenannt:
del E:\WINDOWS\system32\cdaccess.exe
klicke "enter"
del C:\WINDOWS\Zrps.exe
klicke "enter"
--------------------------------------------------------------------------------------------------
gehe in den abgesicherten Modus und mache einen Komplettscann mit
Antivirus -->poste mir bitte das Scan-Log
konfiguriere:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
gehe wieder in den Normalmodus:
#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
und poste zusammen mit dem Scanlog vom Antivirus das neue Log vom HijackThis
Tip:
surfe nicht mehr mit dem IE
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Sturmi am 29.12.2004, 11:02
das löschen im Dos Modus funktionierte nicht da die Dateien nicht gefunden wurden.
Logfile
Logfile of HijackThis v1.98.2
Scan saved at 10:00:22, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\JupitCo.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Fam Alt\Eigene Dateien\hijackthis1982\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{711DF60D-D114-44C7-8EFC-741AF40BD03B}: NameServer = 217.237.151.97 217.237.150.33
Der Log aus dem Antivir im abgesicherten Modus wurde nicht gespeichert. Der Log aus dem Normalmodus ist der folgende
Das ist aber auch nur der aus dem Selbsttest.
Erstellungsdatum der Reportdatei: Mittwoch, 29. Dezember 2004 10:02
AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.34 (0) vom 24.12.2004
Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.
Es wird nach 94741 Viren bzw. unerwünschten Programmen gesucht.
Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz
Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:
Name ___________________________________________
Straße ___________________________________________
PLZ/Ort ___________________________________________
Telefon/Fax ___________________________________________
EMail ___________________________________________
Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 ()
Benutzername: Fam Alt
Prozessor: Pentium
Arbeitsspeicher: 523764 KB frei
Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.5 782848 21.12.2004 09:54:24
AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44
AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44
GUARDMSG.DLL : v6.28.00.02 98344 05.10.2004 16:06:28
AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44
AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 13:13:58
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 13:14:00
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 16:06:28
AVREG.DLL : v6.27.00.01 41000 04.08.2004 11:15:34
AVRep.DLL : v6.29.00.26 827432 26.12.2004 17:36:52
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
CTL3D32.DLL : v2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : v6.00.8665.0 995383 18.08.2001 13:00:00
MSVCRT.DLL : v7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : v7.0.2600.0 (x 322560 18.08.2001 13:00:00
CTL3DV2.DLL : Keine Information
Konfigurationsdaten:
Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest
Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen
Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information
Reportdatei kürzen:
[ ] Reportdatei kürzen
Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt
Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100
Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung
Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren
Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren
Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen
Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\FAMALT~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden
Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel
Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Thumbs.db OK
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK
Als Browser nutzte ich den T-Online Browser. Ich werde mal den Firefox ausprobieren.
Gibt es den keinen sicheren Schutz ausser nicht im Internet zu surfen?
Logfile
Logfile of HijackThis v1.98.2
Scan saved at 10:00:22, on 29.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\JupitCo.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Fam Alt\Eigene Dateien\hijackthis1982\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{711DF60D-D114-44C7-8EFC-741AF40BD03B}: NameServer = 217.237.151.97 217.237.150.33
Der Log aus dem Antivir im abgesicherten Modus wurde nicht gespeichert. Der Log aus dem Normalmodus ist der folgende
Das ist aber auch nur der aus dem Selbsttest.
Erstellungsdatum der Reportdatei: Mittwoch, 29. Dezember 2004 10:02
AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.34 (0) vom 24.12.2004
Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.
Es wird nach 94741 Viren bzw. unerwünschten Programmen gesucht.
Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz
Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:
Name ___________________________________________
Straße ___________________________________________
PLZ/Ort ___________________________________________
Telefon/Fax ___________________________________________
EMail ___________________________________________
Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 ()
Benutzername: Fam Alt
Prozessor: Pentium
Arbeitsspeicher: 523764 KB frei
Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVEWIN32.DLL : v6.29.0.5 782848 21.12.2004 09:54:24
AVGNT.EXE : v6.28.00.02 127016 14.12.2004 17:50:44
AVGUARD.EXE : v6.29.00.03 241704 14.12.2004 17:50:44
GUARDMSG.DLL : v6.28.00.02 98344 05.10.2004 16:06:28
AVGCMSG.DLL : v6.28.00.02 266280 14.12.2004 17:50:44
AVGNTDD.SYS : v6.29.00.02 32560 14.12.2004 17:50:44
AVPACK32.DLL : v6, 28, 0, 4 303144 14.12.2004 17:50:44
AVGETVER.DLL : v6.22.00.00 24576 20.01.2004 13:13:58
AVWIN.DLL : v6.29.00.03 524328 14.12.2004 17:50:44
AVSHLEXT.DLL : v6.22.00.00 57344 20.01.2004 13:14:00
AVSched32.EXE : v6.29.00.00 110632 14.12.2004 17:50:44
AVSched32.DLL : v6.28.00.01 122880 05.10.2004 16:06:28
AVREG.DLL : v6.27.00.01 41000 04.08.2004 11:15:34
AVRep.DLL : v6.29.00.26 827432 26.12.2004 17:36:52
INETUPD.EXE : v6.29.00.02 262203 14.12.2004 17:50:44
INETUPD.DLL : v6.29.00.02 159815 14.12.2004 17:50:44
CTL3D32.DLL : v2.31.000 27136 18.08.2001 13:00:00
MFC42.DLL : v6.00.8665.0 995383 18.08.2001 13:00:00
MSVCRT.DLL : v7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : v7.0.2600.0 (x 322560 18.08.2001 13:00:00
CTL3DV2.DLL : Keine Information
Konfigurationsdaten:
Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest
Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen
Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information
Reportdatei kürzen:
[ ] Reportdatei kürzen
Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt
Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100
Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung
Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren
Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren
Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen
Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen
Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\FAMALT~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden
Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel
Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Bootsektor von Laufwerk C: OK
Systemdateien
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Thumbs.db OK
boot.ini OK
bootfont.bin OK
hiberfil.sys OK
IO.SYS OK
MSDOS.SYS OK
NTDETECT.COM OK
ntldr OK
pagefile.sys OK
Systemtest: OK
Selbsttest: OK
Als Browser nutzte ich den T-Online Browser. Ich werde mal den Firefox ausprobieren.
Gibt es den keinen sicheren Schutz ausser nicht im Internet zu surfen?
- Sturmi
- Beiträge: 3
- Registriert: 22.12.2004, 08:16
von Nikita am 29.12.2004, 18:10
Hallo@Sturmi
Start<Ausfuehren -->cmd
kopiere rein:
regsvr32 /u "\Programme\QuickSearch\QuickSearchBar1_27.dll"
klicke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
NEWDOT
Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
falls du eine newdotnet---dll findest, bringe sie von der linken auf die rechte Seite und loesche sie.
Dann loesche:
C:\Programme\QuickSearch (kompletten Ornder loeschen)
Leere folgenden Ordner: (nicht den Ordner selbst loeschen)
C:\DOKUME~1\FAMALT~1\LOKALE~1\Temp
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
und surfe nicht mehr mit dem IE, nur noch mit dem Firefox
Start<Ausfuehren -->cmd
kopiere rein:
regsvr32 /u "\Programme\QuickSearch\QuickSearchBar1_27.dll"
klicke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll (file missing)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
NEWDOT
Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
falls du eine newdotnet---dll findest, bringe sie von der linken auf die rechte Seite und loesche sie.
Dann loesche:
C:\Programme\QuickSearch (kompletten Ornder loeschen)
Leere folgenden Ordner: (nicht den Ordner selbst loeschen)
C:\DOKUME~1\FAMALT~1\LOKALE~1\Temp
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
und surfe nicht mehr mit dem IE, nur noch mit dem Firefox
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
7 Beiträge • Seite 1 von 1
Ähnliche Themen
| Temp\se.dll + TR/Dldr.Agent.BQ Forum: Online- und PC-Sicherheit Autor: Nikita Antworten: |
Trojanisches Pferd TR/Dldr.QDown.L Forum: Online- und PC-Sicherheit Autor: matzeee Antworten: |
brauche hilfe! hijack log & tr/dldr.small.or Forum: Online- und PC-Sicherheit Autor: Nicolas Antworten: |
Trojaner TR/Dldr. Startpage PLS Help Forum: Online- und PC-Sicherheit Autor: Ertel Antworten: |
Trojaner TR/Dldr.lstBar.PT Forum: Online- und PC-Sicherheit Autor: ninohund Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste