HijackThis -> Anzeichen für Viren?!

von **µ-AÐ-µ** am 29.05.2006, 16:56

Hall zusammen,

seit einigen Tagen läuft mein PC alles andere als reibungslos. Beispielsweise wären da nervigen Werbe-Popups im Internetexplorer oder starke CPU-Auslastungen bei denen ich nicht weiß woher sie kommen. AntivVir, Ad-Aware und SpyBot werden nicht fündig :cry:

Ich werde nun mal mein HijackThis Protokoll posten, es wäre sehr nett wenn Jemand mal drüberfliegen könnte...

Vielen Dank im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 16:47:27, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\PROGRA~1\HDTUNE~1\HDTune.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\MSI\BToes Bluetooth Software\BTTray.exe
C:\PROGRA~1\MSI\BTOESB~1\BTSTAC~1.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Opera\opera.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\kim\LOKALE~1\Temp\Rar$EX00.171\HijackThis.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: (no name) - {413F1B7A-45F0-C08D-C509-ADD125B10BF1} - C:\DOKUME~1\kim\ANWEND~1\README~1\Baitfor.exe (file missing)
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HD Tune] C:\PROGRA~1\HDTUNE~1\HDTune.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Bib Hole Less Bags] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iso heck bib hole\shim hole.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Typefork] C:\DOKUME~1\kim\ANWEND~1\GLOBAL~1\Hope Tons Gram.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\BToes Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - https://www.king.com/midasa.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D70BF43A-9B49-4779-A6C5-42113364BA56}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

von **gipsy111** am 29.05.2006, 19:14

Hi,

Arbeite dies ab!! :wink:

Cleanup

Nutze Cleanup wie beschrieben Hake auf jeden Fall an: Prefetch Ordner leeren:
http://virus-protect.org/cleanup.html

Arbeite das hier ab ==> Poste alle 4 Logs der letzten 3 Monate
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

von **µ-AÐ-µ** am 29.05.2006, 23:01

Schritt 1

29.05.2006 15:10 17.145 nvapps.xml
28.05.2006 14:51 2.206 wpa.dbl
22.05.2006 20:32 52.764 perfc009.dat
22.05.2006 20:32 380.350 perfh009.dat
22.05.2006 20:32 63.580 perfc007.dat
22.05.2006 20:32 391.000 perfh007.dat
22.05.2006 20:32 897.954 PerfStringBackup.INI
29.04.2006 04:39 933 v1310Vex.loc
26.04.2006 19:33 204.120 FNTCACHE.DAT
27.03.2006 19:03 34.064 lhacm.acm
06.03.2006 16:25 552 d3d8caps.dat
23.02.2006 11:22 57.344 avsda.dll
19.02.2006 11:44 634.880 NCTAudioEditor2.dll
19.02.2006 11:44 966.144 NCTAudioInformation2.dll
19.02.2006 11:44 467.456 NCTAudioPlayer2.dll
19.02.2006 11:44 467.968 NCTAudioRecord2.dll
19.02.2006 11:44 522.752 NCTAudioTransform2.dll
19.02.2006 11:44 877.568 NCTAudioFile2.dll
19.02.2006 11:44 237.568 lame_enc.dll
24.01.2006 19:34 118.784 sirenacm.dll
15.01.2006 15:22 519 ws559342.ocx
09.12.2005 19:13 34.308 BASSMOD.dll
08.12.2005 19:03 5.120 Thumbs.db

Schritt 2

29.05.2006 22:45 16.384 ~DFB19D.tmp
29.05.2006 22:45 512 ~DFB1A8.tmp
29.05.2006 22:45 512 ~DFB18F.tmp
29.05.2006 22:45 16.384 ~DFB184.tmp
29.05.2006 22:45 512 ~DFB176.tmp
29.05.2006 22:45 512 ~DFB15D.tmp
29.05.2006 22:45 16.384 ~DFB151.tmp
29.05.2006 22:45 16.384 ~DFB16B.tmp
29.05.2006 22:44 16.384 ~DF5721.tmp
29.05.2006 22:44 512 ~DF572C.tmp
29.05.2006 22:44 512 ~DF5713.tmp
29.05.2006 22:44 16.384 ~DF5708.tmp
29.05.2006 22:44 512 ~DF56E1.tmp
29.05.2006 22:44 16.384 ~DF56D6.tmp
29.05.2006 22:44 512 ~DF56FA.tmp
29.05.2006 22:44 16.384 ~DF56EF.tmp
29.05.2006 22:44 16.384 ~DF42F1.tmp
29.05.2006 22:44 16.384 ~DF3B3A.tmp
29.05.2006 22:44 512 ~DF3B55.tmp
29.05.2006 22:02 21.107 WCESLog.log
24.10.2005 19:19 90.112 CmdLineExt03.dll

Schritt 3

29.05.2006 22:39 192 winamp.ini
29.05.2006 22:28 27.794 setupapi.log
29.05.2006 22:28 349 wiadebug.log
29.05.2006 17:47 1.409 QTFont.for
29.05.2006 17:47 54.156 QTFont.qfn
29.05.2006 15:09 0 0.log
29.05.2006 15:08 50 wiaservc.log
29.05.2006 15:08 2.048 bootstat.dat
28.05.2006 22:51 32.600 SchedLgU.Txt
28.05.2006 22:51 414.188 WindowsUpdate.log
28.05.2006 21:36 198.518 setupact.log
26.05.2006 15:14 88.830 wmsetup.log
26.05.2006 15:14 30.220 DirectX.log
22.05.2006 17:27 75.312 iis6.log
22.05.2006 17:27 1.374 imsins.log
22.05.2006 17:27 24.563 comsetup.log
22.05.2006 17:27 2.496 tabletoc.log
22.05.2006 17:27 13.486 ntdtcsetup.log
22.05.2006 17:27 23.238 tsoc.log
22.05.2006 17:27 2.380 ocmsn.log
22.05.2006 17:27 6.091 KB909394.log
22.05.2006 17:27 3.481 MedCtrOC.log
22.05.2006 17:27 29.256 ocgen.log
22.05.2006 17:27 7.631 netfxocm.log
22.05.2006 17:27 2.277 msgsocm.log
22.05.2006 17:27 40.098 FaxSetup.log
22.05.2006 17:27 17.778 msmqinst.log
22.05.2006 17:27 812 updspapi.log
22.05.2006 17:27 1.374 imsins.BAK
22.05.2006 17:27 5.251 KB894476.log
22.05.2006 17:21 1.408.484 setupapi.log.0.old
16.05.2006 16:36 235.016 KingComIE.dll
10.05.2006 14:43 227 system.ini
10.05.2006 14:43 638 win.ini
03.05.2006 22:40 491 kaillera.ini
01.05.2006 20:47 377 lexstat.ini
29.04.2006 04:39 142 VQFLICK.LOG
29.04.2006 04:39 1.521 SYSINST.LOG
29.04.2006 04:39 1.816 LOCINST.LOG
13.04.2006 15:21 9.016 Paltalk Messenger Uninstall Log.txt
12.04.2006 14:58 26.490 Paltalk Messenger Setup Log.txt
12.04.2006 14:21 4.592 msnavpklog.txt
10.04.2006 00:18 52.100 ModemLog_SoftV90 Data Fax Voice Modem.txt
30.03.2006 00:14 1.513 BMSetup.log
29.03.2006 14:58 2.454 ModemLog_Kommunikationskabel zwischen zwei Computern #2.txt
29.03.2006 14:58 1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
18.03.2006 19:38 496 eJay_se.inf
06.03.2006 18:28 7.680 Thumbs.db
21.02.2006 18:38 400 3gptoavi3.INI
20.02.2006 21:46 0 mngui.INI

Schritt 4

29.05.2006 22:57 0 sys.txt
29.05.2006 22:55 7.730 system.txt
29.05.2006 22:53 1.275 systemtemp.txt
29.05.2006 22:50 105.515 system32.txt
29.05.2006 22:27 192 BcBtRmv.log
29.05.2006 15:08 805.306.368 pagefile.sys
10.05.2006 14:43 389 boot.ini
03.05.2006 18:36 0 logwmemory.bin
24.04.2006 15:49 124.428 freeware_wecker.zip
21.04.2006 03:27 82.927 home.htm
19.04.2006 16:49 2.119 upload_manager.php
12.04.2006 14:58 0 palsound.txt
09.04.2006 17:57 44 test
09.04.2006 15:48 597 mini_oben.jpg
02.03.2006 18:09 23.552 Deutsch Gentechnik.doc
02.03.2006 17:58 24.576 matheaufgabe.doc
26.02.2006 23:36 76.568 LarvaeoftheLie.mp3
06.02.2006 11:23 430.592 setup.exe
15.01.2006 15:22 519 os827038.bin

So das wärs...

Nachdem ich diesen Cleanup hab durchlaufen lassen musste ich leider feststellen dass diese Prog mir sämtliche Ordner mit dem Namen "temp" platt gemacht hat

Somit auch etwas Musik....

Vielen Dank für die schnelle Antwort!

von **Nikita** am 30.05.2006, 11:36

µ-AÐ-µ

seit wann hat man denn seine musik in den temp-Ordnern ???

Text in den Texteditor kopieren
abspeichern (alle Dateien)als service.bat
doppeltklicken -> Text posten, bitte

Code: Alles auswählen: cd\ cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten dir /x >> C:\look.txt cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten dir /x >> C:\look.txt dir %Windir%\tasks /a:h >> C:\look.txt start notepad C:\look.txt

von **Nikita** am 30.05.2006, 11:37

gipsy111

Erst mal danke fuer deine unermuedliche Hilfe.

wenn der LOP/Swizzor auf dem System ist, brauche ich keine Logs von datfindbat, sondern die oben angefuehrte bat-Datei

Beispiele:
http://virus-protect.org/artikel/spyware/lop1.html

O2 - BHO: (no name) - {413F1B7A-45F0-C08D-C509-ADD125B10BF1} - C:\DOKUME~1\kim\ANWEND~1\README~1\Baitfor.exe

Tipp:
mach mal deine Signantur schlanker

es interessiert bestimmt keinen, immer (bei jedem Posting)... lesen zu muessen, welchen PC du dein eigen nennst

von **gipsy111** am 30.05.2006, 14:25

Alles klar, Nikita!

Edit:

wenn der LOP/Swizzor auf dem System ist, brauche ich keine Logs von datfindbat, sondern die oben angefuehrte bat-Datei

Wo seh ich das, dass es ein LOP/Swizzor ist!!

von **µ-AÐ-µ** am 30.05.2006, 14:38

Hier der Text:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C03B-F90F

Verzeichnis von C:\Dokumente und Einstellungen\kim\Anwendungsdaten

22.05.2006 17:28 2.508 $_hpcst$.hpc
28.11.2005 22:34 1.617 AKVIS_~1.SET .akvis_coloriage.settings
27.07.2005 03:32 <DIR> BITTOR~1 .bittorrent
12.11.2005 00:18 <DIR> TRACKB~1 .trackballs
29.05.2006 22:12 <DIR> Adobe
04.08.2005 14:23 <DIR> AdobeUM
25.07.2005 19:54 <DIR> Ahead
09.12.2005 21:10 <DIR> AOL
11.11.2005 23:53 <DIR> ARMAGE~1 Armagetron
11.01.2006 21:50 <DIR> AveDesk
18.04.2006 18:33 <DIR> Azureus
12.04.2006 15:12 <DIR> Camfrog
07.09.2005 20:50 <DIR> CYBERL~1 CyberLink
12.02.2006 14:22 <DIR> dvdcss
28.04.2006 18:19 <DIR> fltk.org
23.02.2006 19:22 53.536 GDIPFO~1.DAT GDIPFONTCACHEV1.DAT
21.05.2006 20:41 <DIR> GLOBAL~1 Global Okay
19.01.2006 08:53 <DIR> Help
14.04.2006 01:25 <DIR> ICQLite
02.05.2006 18:51 <DIR> IDENTI~1 Identities
26.02.2006 18:12 <DIR> KAZAAL~1 Kazaa Lite
25.07.2005 18:56 <DIR> Lavasoft
25.07.2005 23:17 <DIR> MACROM~1 Macromedia
18.09.2005 19:12 <DIR> MEDIAP~1 Media Player Classic
16.10.2005 01:59 <DIR> Mozilla
12.04.2006 14:23 <DIR> MSN6
27.07.2005 03:18 <DIR> NETPUM~1 NetPumper
25.07.2005 16:39 <DIR> Opera
08.01.2006 21:52 <DIR> PEGASY~1 Pegasys Inc
11.11.2005 19:19 <DIR> Philips
13.08.2005 04:01 <DIR> PROPEL~1 Propellerhead Software
24.05.2006 16:49 <DIR> README~1 Readmedefault
18.09.2005 19:43 <DIR> RIVERP~1 River Past G3
11.04.2006 00:54 <DIR> SMARTS~1 SmartSurfer
25.07.2005 16:38 <DIR> Sun
16.10.2005 01:59 <DIR> Talkback
11.04.2006 02:56 <DIR> TEAMSP~1 teamspeak2
02.10.2005 03:40 <DIR> THQ
16.10.2005 12:44 <DIR> TUNEUP~1 TuneUp Software
14.08.2005 17:18 <DIR> ULEADS~1 Ulead Systems
29.10.2005 02:35 <DIR> vlc
13.09.2005 18:43 <DIR> WEBDE
09.05.2006 11:54 <DIR> XnView
31.07.2005 20:10 <DIR> YOU'VE~1 You've Got Pictures Screensaver
3 Datei(en) 57.661 Bytes
41 Verzeichnis(se), 10.792.378.368 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C03B-F90F

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10.04.2006 20:25 305 ADDR_F~1.HTM addr_file.html
24.05.2006 19:26 <DIR> Adobe
03.04.2006 18:36 <DIR> ADOBES~1 Adobe Systems
29.05.2006 17:25 <DIR> ANTIVI~1 AntiVir PersonalEdition Classic
09.12.2005 21:10 <DIR> AOL
07.09.2005 20:50 <DIR> CYBERL~1 CyberLink
07.05.2006 21:16 <DIR> DunWatch
21.05.2006 20:41 <DIR> ISOHEC~1 iso heck bib hole
03.08.2005 00:44 <DIR> KAZAAL~1 Kazaa Lite
25.07.2005 23:15 <DIR> MACROM~1 Macromedia
12.04.2006 14:23 <DIR> MSN6
25.07.2005 22:16 <DIR> NVIEW_~1 nView_Profiles
05.11.2005 21:46 <DIR> QUICKT~1 QuickTime
18.09.2005 19:46 <DIR> RIVERP~1 River Past G3
25.07.2005 19:00 <DIR> SPYBOT~1 Spybot - Search & Destroy
16.10.2005 12:52 <DIR> TUNEUP~1 TuneUp Software
14.08.2005 17:18 <DIR> ULEADS~1 Ulead Systems
31.07.2005 20:10 <DIR> VIEWPO~1 Viewpoint
18.05.2006 21:11 <DIR> WINDOW~1 Windows Genuine Advantage
1 Datei(en) 305 Bytes
18 Verzeichnis(se), 10.792.374.272 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C03B-F90F

Verzeichnis von C:\WINDOWS\tasks

30.05.2006 14:00 250 AFD56A6791731B87.job
05.08.2004 14:00 65 desktop.ini
30.05.2006 13:37 6 SA.DAT
3 Datei(en) 321 Bytes
0 Verzeichnis(se), 10.792.374.272 Bytes frei

Muss ich dieses untere Beispiel "http://virus-protect.org/artikel/spyware/lop1.html" auchnoch abarbeiten?

Vielen Dank, Ihr seid echt schnell und verdammt hilfreich!

von **Nikita** am 30.05.2006, 15:06

µ-AÐ-µ

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {413F1B7A-45F0-C08D-C509-ADD125B10BF1} - C:\DOKUME~1\kim\ANWEND~1\README~1\Baitfor.exe (file missing)
O4 - HKLM\..\Run: [Bib Hole Less Bags] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iso heck bib hole\shim hole.exe
O4 - HKCU\..\Run: [Typefork] C:\DOKUME~1\kim\ANWEND~1\GLOBAL~1\Hope Tons Gram.exe

3.
PC neustarten (in den abgesicherten Modus) --> F8 drücken, wenn der PC hochfährt
abgesicherter Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

4.
deinstallieren: ->Netpumper

5.
loeschen:
C:\Dokumente und Einstellungen\kim\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\kim\Anwendungsdaten\Readmedefault
C:\Dokumente und Einstellungen\kim\Anwendungsdaten\Global Okay
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iso heck bib hole

-----------

6.
boote wieder in den Normalmodus

7.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften ---> Reiter Systemwiederherstellung ---> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

8.
scanne mit Dr.Web (alles löschen oder umbenennen oder verschieben lassen ! )
http://virus-protect.org/cureit.html
danach die Quarantine leeren !

9.
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Code: Alles auswählen: %systemdrive% cd C:\WINDOWS\Tasks attrib -r -s -h AFD56A6791731B87.job del AFD56A6791731B87.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

10.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

von **µ-AÐ-µ** am 30.05.2006, 18:38

Habe alles abgearbeitet, allerdings lässt sich "NetPumper" nicht deinstallieren, das Programm taucht auch nicht unter "System/Software" auf, komischerweise!

Hier der Log aus dem Onlinescan

PS: Musik welche noch nicht sortiert is bewahre ich immer erst in einem eigens angelegten Ordner names "temp" ab *g*

Incident Status Location

Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\kim\Cookies\kim@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\kim\Cookies\kim@sel.as-eu.falkag[2].txt
Virus:SymbOS/Fontal.A.worm Not disinfected D:\Net Tools\Handy\SIS GAMES 1\font_remover.sis[]
Spyware:Spyware/New.net Not disinfected D:\Net Tools\WarezP2P_PHZ.exe[NNWARZ3_88.exe]
Adware:Adware/Lop Not disinfected D:\Net Tools\WarezP2P_PHZ.exe[cdev.exe]

von **Nikita** am 30.05.2006, 21:29

loesche: D:\Net Tools\WarezP2P_PHZ.exe
(lade diesen Muell nie mehr)

mit dem anderen (D:\Net Tools\Handy\SIS GAMES 1 ...........Wurm) kann ich nichts anfangen, aber loesche es zur Sicherheit auch)

HijackThis -> Anzeichen für Viren?!

HijackThis -> Anzeichen für Viren?!

Ähnliche Themen

Wer ist online?