Hallo,
Ich habe neuerdings Spyware, d.h. ich bekomme in regelmäßigen Abständen Werbung durch Popups (auch im offline zustand)
Mitlerweile benutze ich Firefox und Zonelabs, aber es ist so zusagen schon zu spät !
Ich hab es auch schon mit Ad-Awar-Pro probiert, das hat aber nichts genützt deshalb wurde mir von einem Freund geraten, die mit Hilfe von HijackThis erstellte Programmliste hier zu posten. Also:
Logfile of HijackThis v1.99.1
Scan saved at 20:49:03, on 28.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Acer\Empowering Technology\admtray.exe
C:\acer\Empowering Technology\ePower\epm-dm.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\Launch Manager\PowerKey.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSDCtrl.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\TEMP\h91746.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\1024\ld9AD2.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\gdnUS2218.exe
C:\DOKUME~1\Muhaha\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\Empowering Technology\ePower\epm-dm.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [PowerKey] "C:\Programme\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSDCtrl.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [b4c7ae7b.exe] C:\WINDOWS\system32\b4c7ae7b.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [b4c7ae7b.exe] C:\Dokumente und Einstellungen\Muhaha\Lokale Einstellungen\Anwendungsdaten\b4c7ae7b.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Sample Toolband Serach - res://C:\WINDOWS\system32\ToolBand.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01C02B21-D5CD-0296-87E9-76F066FE6ACE} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {035FC58E-D0EE-715F-3F69-54631851A01B} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {0AA5702A-03EE-1DA3-38F2-5286180F5C4D} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {0E276614-BE25-7C1F-A68F-74942F2FA255} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {192068B7-DC62-2398-7A64-1F7D619C02E9} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {1AEB669A-7C6D-783D-8E8D-72826D11B946} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {312F4B48-69B2-43B4-AC7B-49357A46BB2D} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {38B4A1E6-2C65-6EFA-442E-1C5B61827B4E} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {40FF5C54-DAAE-36DB-C7D1-654371A6CF89} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {551ABF56-FA77-2159-5011-2930136704BD} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {55D5F87B-CCDF-438B-7640-00E130BC6EBA} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {5F404142-21C0-3F22-A651-3B6C4DDEAD1E} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6926106C-BB87-6FB9-F1D5-5A403E5E421C} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6B50A649-56EA-7CA0-8867-4C063C493A43} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6C3C725A-B10A-6DE8-A71B-2DA06DDFA6B0} - http://85.255.113.214/1/gdnUS2218.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Ich hoffe ihr könnt mir helfen !
Mit freundlichen Grüßen
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Spyware / popups
7 Beiträge • Seite 1 von 1
von gipsy111 am 28.05.2006, 22:06
Hi,
arbeite dies ab.
1.
Cleanup
Nutze Cleanup wie beschrieben Hake auf jeden Fall an: Prefetch Ordner leeren:
http://virus-protect.org/cleanup.html
2.
Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate:
http://virus-protect.org/datfindbat.html
arbeite dies ab.
1.
Cleanup
Nutze Cleanup wie beschrieben Hake auf jeden Fall an: Prefetch Ordner leeren:
http://virus-protect.org/cleanup.html
2.
Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate:
http://virus-protect.org/datfindbat.html
- gipsy111
- Moderator
- Beiträge: 1616
- Registriert: 26.12.2005, 18:02
- Wohnort: Baden - Württemberg
von Nikita am 28.05.2006, 22:37
das auch noch, dann sehe ich nach 
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Blobi am 30.05.2006, 15:46
Also einmal der "Echo-bericht
und zum zweiten !
Danke vielmals !
und zum zweiten !
10)DPF????
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD
Verzeichnis von C:\WINDOWS\Downloaded Program Files
09.03.2006 08:17 <DIR> .
09.03.2006 08:17 <DIR> ..
24.05.2006 23:06 <DIR> CONFLICT.1
28.05.2006 13:56 20.392 gdnUS2218.exe
28.05.2006 17:50 <DIR> CONFLICT.2
28.05.2006 18:15 <DIR> CONFLICT.3
28.05.2006 18:40 <DIR> CONFLICT.4
28.05.2006 20:48 <DIR> CONFLICT.5
28.05.2006 21:13 <DIR> CONFLICT.6
28.05.2006 21:38 <DIR> CONFLICT.7
30.05.2006 13:53 <DIR> CONFLICT.8
1 Datei(en) 20.392 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
24.05.2006 23:06 <DIR> .
24.05.2006 23:06 <DIR> ..
28.05.2006 14:29 20.392 gdnUS2218.exe
1 Datei(en) 20.392 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2
28.05.2006 17:50 <DIR> .
28.05.2006 17:50 <DIR> ..
28.05.2006 17:50 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.3
28.05.2006 18:15 <DIR> .
28.05.2006 18:15 <DIR> ..
28.05.2006 18:15 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.4
28.05.2006 18:40 <DIR> .
28.05.2006 18:40 <DIR> ..
28.05.2006 18:15 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.5
28.05.2006 20:48 <DIR> .
28.05.2006 20:48 <DIR> ..
28.05.2006 20:47 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.6
28.05.2006 21:13 <DIR> .
28.05.2006 21:13 <DIR> ..
28.05.2006 21:12 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.7
28.05.2006 21:38 <DIR> .
28.05.2006 21:38 <DIR> ..
28.05.2006 21:38 19.880 gdnUS2218.exe
1 Datei(en) 19.880 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.8
30.05.2006 13:53 <DIR> .
30.05.2006 13:53 <DIR> ..
0 Datei(en) 0 Bytes
Anzahl der angezeigten Dateien:
8 Datei(en) 160.064 Bytes
26 Verzeichnis(se), 1.072.791.552 Bytes frei
10)DPF????
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD
Verzeichnis von C:\WINDOWS\Downloaded Program Files
09.03.2006 08:17 <DIR> .
09.03.2006 08:17 <DIR> ..
24.05.2006 23:06 <DIR> CONFLICT.1
28.05.2006 13:56 20.392 gdnUS2218.exe
28.05.2006 17:50 <DIR> CONFLICT.2
28.05.2006 18:15 <DIR> CONFLICT.3
28.05.2006 18:40 <DIR> CONFLICT.4
28.05.2006 20:48 <DIR> CONFLICT.5
28.05.2006 21:13 <DIR> CONFLICT.6
28.05.2006 21:38 <DIR> CONFLICT.7
30.05.2006 13:53 <DIR> CONFLICT.8
1 Datei(en) 20.392 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.1
24.05.2006 23:06 <DIR> .
24.05.2006 23:06 <DIR> ..
28.05.2006 14:29 20.392 gdnUS2218.exe
1 Datei(en) 20.392 Bytes
Verzeichnis von C:\WINDOWS\Downloaded Program Files\CONFLICT.2
30.05.2006 15:26 5.148 stdole3.tlb
30.05.2006 13:51 6.144 simpole.tlb
30.05.2006 13:51 46.080 dcomcfg.exe
30.05.2006 13:51 10.568 atmclk.exe
30.05.2006 13:51 4.286 ot.ico
30.05.2006 13:51 4.286 ts.ico
30.05.2006 13:51 27.648 hp100.tmp
30.05.2006 13:44 451 eRLog.ini
30.05.2006 13:44 41.108 vsconfig.xml
30.05.2006 13:44 45.378 nvapps.xml
30.05.2006 13:44 67.085 ld101.tmp
29.05.2006 21:36 1.158 wpa.dbl
28.05.2006 21:13 21.504 b4c7ae7b.exe
28.05.2006 20:39 318.680 perfh007.dat
28.05.2006 20:39 49.424 perfc007.dat
28.05.2006 20:39 313.280 perfh009.dat
28.05.2006 20:39 40.998 perfc009.dat
28.05.2006 20:39 727.458 PerfStringBackup.INI
28.05.2006 20:35 57 mapisvc.inf
27.05.2006 13:46 122.880 UAService7.exe
24.05.2006 21:41 4.212 zllictbl.dat
24.05.2006 21:22 79.373 regperf.exe
17.05.2006 19:15 34.064 lhacm.acm
17.05.2006 17:32 6.948 jupdate-1.5.0_06-b05.log
04.05.2006 17:35 65.536 QuickTimeVR.qtx
04.05.2006 17:35 49.152 QuickTime.qts
27.04.2006 21:04 98.304 CmdLineExt.dll
26.04.2006 15:15 100 LuResult.txt
25.04.2006 13:12 178.648 FNTCACHE.DAT
23.04.2006 00:48 308 results.txt
23.04.2006 00:41 575 $winnt$.inf
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
Danke vielmals !
- Blobi
- Beiträge: 3
- Registriert: 28.05.2006, 21:01
von Nikita am 30.05.2006, 16:58
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .
pc neustarten
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
PC neustarten
**
) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen
**
arbeite das ab und poste beide scanreports
http://virus-protect.org/artikel/tools/ ... utfix.html
´´
wenn du im abgesicherten Modus bist, loesche auch alles, was du findest unter:
C:\WINDOWS\TEMP\
**
poste noch mal die Logs von datfindbat ...bitte beachten, es sind 4 logs !!!
http://virus-protect.org/datfindbat.html
http://virus-protect.org/killbox.html
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .
C:\Dokumente und Einstellungen\Muhaha\Lokale Einstellungen\Anwendungsdaten\b4c7ae7b.exe
C:\WINDOWS\system32\b4c7ae7b.exe
C:\WINDOWS\system32\eRLog.ini
C:\WINDOWS\system32\hp100.tmp
C:\WINDOWS\Downloaded Program Files\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\gdnUS2218.exe
C:\WINDOWS\System32\stdole3.tlb
C:\WINDOWS\System32\simpole.tlb
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\regperf.exe
C:\WINDOWS\TEMP\h91746.exe
C:\WINDOWS\system32\1024\ld9AD2.tmp
C:\WINDOWS\system32\1024
C:\WINDOWS\System32\ot.ico
C:\WINDOWS\System32\ts.ico
pc neustarten
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: SecurityToolbar - {736b5468-bdad-41be-92d0-22ae2ddf7bcb} - C:\Programme\Security Toolbar\Security Toolbar.dll (file missing)
O4 - HKLM\..\Run: [b4c7ae7b.exe] C:\WINDOWS\system32\b4c7ae7b.exe
O4 - HKCU\..\Run: [b4c7ae7b.exe] C:\Dokumente und Einstellungen\Muhaha\Lokale Einstellungen\Anwendungsdaten\b4c7ae7b.exe
O16 - DPF: {01C02B21-D5CD-0296-87E9-76F066FE6ACE} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {035FC58E-D0EE-715F-3F69-54631851A01B} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {0AA5702A-03EE-1DA3-38F2-5286180F5C4D} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {0E276614-BE25-7C1F-A68F-74942F2FA255} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {192068B7-DC62-2398-7A64-1F7D619C02E9} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {1AEB669A-7C6D-783D-8E8D-72826D11B946} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {312F4B48-69B2-43B4-AC7B-49357A46BB2D} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {38B4A1E6-2C65-6EFA-442E-1C5B61827B4E} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {40FF5C54-DAAE-36DB-C7D1-654371A6CF89} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {551ABF56-FA77-2159-5011-2930136704BD} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {55D5F87B-CCDF-438B-7640-00E130BC6EBA} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {5F404142-21C0-3F22-A651-3B6C4DDEAD1E} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6926106C-BB87-6FB9-F1D5-5A403E5E421C} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6B50A649-56EA-7CA0-8867-4C063C493A43} - http://85.255.113.214/1/gdnUS2218.exe
O16 - DPF: {6C3C725A-B10A-6DE8-A71B-2DA06DDFA6B0} - http://85.255.113.214/1/gdnUS2218.exe
PC neustarten
**
) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen
**
arbeite das ab und poste beide scanreports
http://virus-protect.org/artikel/tools/ ... utfix.html
´´
wenn du im abgesicherten Modus bist, loesche auch alles, was du findest unter:
C:\WINDOWS\TEMP\
**
poste noch mal die Logs von datfindbat ...bitte beachten, es sind 4 logs !!!
http://virus-protect.org/datfindbat.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Blobi am 03.06.2006, 12:53
ok
So danke soweit ! Ich hoffe ich hab alles richtig gemacht
SmitFraudFix v2.53
Scan done at 12:48:57,56, 03.06.2006
Run from C:\Dokumente und Einstellungen\Muhaha\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
C:\WINDOWS\system32\atmclk.exe FOUND !
C:\WINDOWS\system32\dcomcfg.exe FOUND !
C:\WINDOWS\system32\hp???.tmp FOUND !
C:\WINDOWS\system32\hp????.tmp FOUND !
C:\WINDOWS\system32\ld????.tmp FOUND !
C:\WINDOWS\system32\ot.ico FOUND !
C:\WINDOWS\system32\regperf.exe FOUND !
C:\WINDOWS\system32\simpole.tlb FOUND !
C:\WINDOWS\system32\stdole3.tlb FOUND !
C:\WINDOWS\system32\ts.ico FOUND !
C:\WINDOWS\system32\1024\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Muhaha\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\MUHAHA\FAVORI~1
C:\DOKUME~1\MUHAHA\FAVORI~1\Antivirus Test Online.url FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
C:\Programme\Security Toolbar\ FOUND !
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{a0c51615-738a-4542-801a-5af61614e182}"="bedimples"
[HKEY_CLASSES_ROOT\CLSID\{a0c51615-738a-4542-801a-5af61614e182}\InProcServer32]
@="C:\WINDOWS\system32\higjxe.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{a0c51615-738a-4542-801a-5af61614e182}\InProcServer32]
@="C:\WINDOWS\system32\higjxe.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{62eb0924-19d2-4226-b4b9-8ad1f70904c1}"="bronchovascular"
[HKEY_CLASSES_ROOT\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}\InProcServer32]
@="C:\WINDOWS\system32\hvnwm.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}\InProcServer32]
@="C:\WINDOWS\system32\hvnwm.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
SmitFraudFix v2.53
Scan done at 12:49:33,89, 03.06.2006
Run from C:\Dokumente und Einstellungen\Muhaha\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{a0c51615-738a-4542-801a-5af61614e182}"="bedimples"
[HKEY_CLASSES_ROOT\CLSID\{a0c51615-738a-4542-801a-5af61614e182}\InProcServer32]
@="C:\WINDOWS\system32\higjxe.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{a0c51615-738a-4542-801a-5af61614e182}\InProcServer32]
@="C:\WINDOWS\system32\higjxe.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{62eb0924-19d2-4226-b4b9-8ad1f70904c1}"="bronchovascular"
[HKEY_CLASSES_ROOT\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}\InProcServer32]
@="C:\WINDOWS\system32\hvnwm.dll"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{62eb0924-19d2-4226-b4b9-8ad1f70904c1}\InProcServer32]
@="C:\WINDOWS\system32\hvnwm.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Killing process
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files
C:\WINDOWS\system32\atmclk.exe Deleted
C:\WINDOWS\system32\dcomcfg.exe Deleted
C:\WINDOWS\system32\hp???.tmp Deleted
C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\regperf.exe Deleted
C:\WINDOWS\system32\simpole.tlb Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\1024\ Deleted
C:\DOKUME~1\MUHAHA\FAVORI~1\Antivirus Test Online.url Deleted
C:\Programme\Security Toolbar\ Deleted
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
C:\WINDOWS\system32\higjxe.dll -> Missing File
C:\WINDOWS\system32\hvnwm.dll -> Missing File
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
Registry Cleaning done.
»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» End
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD
Verzeichnis von C:\WINDOWS\system32
03.06.2006 12:46 451 eRLog.ini
03.06.2006 12:46 45.378 nvapps.xml
03.06.2006 12:46 41.108 vsconfig.xml
29.05.2006 21:36 1.158 wpa.dbl
28.05.2006 21:13 21.504 b4c7ae7b.exe
28.05.2006 20:39 49.424 perfc007.dat
28.05.2006 20:39 313.280 perfh009.dat
28.05.2006 20:39 40.998 perfc009.dat
28.05.2006 20:39 318.680 perfh007.dat
28.05.2006 20:39 727.458 PerfStringBackup.INI
28.05.2006 20:35 57 mapisvc.inf
27.05.2006 13:46 122.880 UAService7.exe
24.05.2006 21:41 4.212 zllictbl.dat
17.05.2006 19:15 34.064 lhacm.acm
So danke soweit ! Ich hoffe ich hab alles richtig gemacht
- Blobi
- Beiträge: 3
- Registriert: 28.05.2006, 21:01
von Nikita am 03.06.2006, 17:31
ich denke, du hast nicht korrekt mit der Killbox gearbeitet, denn die exe, die zu loeschen war...ist noch da....
und smitfraud.fix hat ebenfalls alles gefunden, was eigentlich zu loeschen war.
Wenn du nicht korrekt abarbeitest, was ich anweise...kann ich auch nicht weiterhelfen.
-----------------------------------------------------------------------------------
1.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken
------------------------------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom Avenger
3.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
---------------------------------------------------------------
Information :Virus:Trj/Downloader.DEO
http://virus-protect.org/artikel/spywar ... quake.html
und smitfraud.fix hat ebenfalls alles gefunden, was eigentlich zu loeschen war.
Wenn du nicht korrekt abarbeitest, was ich anweise...kann ich auch nicht weiterhelfen.
-----------------------------------------------------------------------------------
1.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken
- Code: Alles auswählen
cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt
------------------------------------------------------------------------------
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Files to delete:
C:\WINDOWS\system32\b4c7ae7b.exe
C:\WINDOWS\system32\eRLog.ini
C:\WINDOWS\TEMP\h91746.exe
C:\Dokumente und Einstellungen\Muhaha\Lokale Einstellungen\Anwendungsdaten\b4c7ae7b.exe
C:\WINDOWS\Downloaded Program Files\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.2\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.3\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.5\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.6\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.7\gdnUS2218.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.8\gdnUS2218.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom Avenger
3.
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
---------------------------------------------------------------
Information :Virus:Trj/Downloader.DEO
http://virus-protect.org/artikel/spywar ... quake.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
7 Beiträge • Seite 1 von 1
Ähnliche Themen
| Internet Explorer - Probleme mit Popups Forum: Software-Hilfe Autor: mcgyver Antworten: |
Ständig Popups von Erotik-Portal Forum: Online- und PC-Sicherheit Autor: Defwde Antworten: |
Spyware/Adware Forum: Online- und PC-Sicherheit Autor: hotzlmo Antworten: |
lestige popups Forum: DFÜ, Netzwerk, Internet Autor: renato Antworten: |
spyware Forum: Online- und PC-Sicherheit Autor: darwin Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste