spysheriff+eventwvr.exe |
Willkommen, Gast ( Anmelden | Registrierung )
spysheriff+eventwvr.exe |
23.04.2006, 21:36
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
Hallo,
nachdem ich mir mit spysheriff eine der "nettesten" software eingefangen hatte, die einen pc übernehmen können, suche ich bei euch hilfe, um die letzten überbleibsel der infektion zu vernichten. ich vermute eventwvr.exe als den letzten übeltäter, will aber auch nicht ein programm löschen, das für andere anwendungen eventuell noch gebraucht wird. was ratet ihr mir, wie kann ich jetzt vorgehen? vielen dank! mein log: Logfile of HijackThis v1.99.1 Scan saved at 22:22:20, on 23.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\WINDOWS\system32\sstray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\paytime.exe C:\WINDOWS\system32\srwhost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Timerle\Timerle.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\srshost.exe C:\VstaScan\VsAccess.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE C:\WINDOWS\explorer.exe C:\Programme\IDM Computer Solutions\UltraSentry\us.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DownloadsAusDemNet\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe ->> O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O4 - HKCU\..\Run: [Key] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\100.tmp O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe O4 - HKCU\..\Run: [UltraSentry] C:\Programme\IDM Computer Solutions\UltraSentry\us.exe -scd O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Umax VistaAccess.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe edit: hab mal die für mich zweifelhaften einträge markiert, habe ich welche übersehen? edit2: jetzt auch in rot Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:52 |
|
|
23.04.2006, 22:05
Beitrag
#2
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll O4 - HKLM\..\Run: [SysTray] C:\Program Files\paytime.exe O4 - HKLM\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKLM\..\Run: [Microsoft Windows System] srwhost.exe O4 - HKLM\..\RunServices: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKLM\..\RunServices: [Microsoft Windows System] srwhost.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe ->> O4 - HKCU\..\Run: [eventwvr] C:\WINDOWS\system32\eventwvr.exe O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe" O4 - HKCU\..\Run: [Key] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\100.tmp O4 - HKCU\..\Run: [srshost.exe] C:\WINDOWS\system32\srshost.exe O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll es sind doch noch ein paar mehr. ich erinnere hierbei aber an den beitrag von Raman , der die Probleme bei derart von Infizierungen auf den Punkt bringt . http://www.rokop-security.de/index.php?sho...ndpost&p=144336 Auch hier wäre Neuaufsetzen die bessere Lösung. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
24.04.2006, 02:45
Beitrag
#3
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
puhhh, was ne arbeit - aber ich denke, sie hat sich gelohnt
nachdem ich meinen eintrag hier geschrieben hatte, bin ich über eure erste hilfe hier gestolpert: http://www.rokop-security.de/index.php?showtopic=3867 1000 dank für diese zusammenfassung, ich glaube nicht, daß ichs ohne geschafft hätte! vielen dank auch dir bond7, für deine mühen! tolles forum hier ich würd ja gerne öfter reinschauen, aber ich hoffe, daß es nicht wieder wegen sonem adware-trojaner-nachlader-scheiss ist. meine nerven wären fast draufgegangen dabei, die virii und die trojaner zu löschen. hab die einträge nicht mehr gezählt, es waren einige - und das bei einem system, das seit wenigen wochen erst läuft und von mir eigentlich für nur ganz wenige und immer dieselben websites genutzt wird! als der hartnäckigste brocken erwies sich der Troj/Downloader -AAl (die Spysheriff Variante), der nicht nur eine hartnäckige assel in sämtlichen verzeichnissen, sondern auch dazu in der lage ist, dateien zu löschen. das würde auch erklären, warum pc-cillin seitdem nicht mehr startet (Cannot query Real-Time Scanning Staus =?!?!?) eine mit einem virus infizierte datei senssrv.dll im c:\win\sys32 verzeichnis wollte sich auch partout nicht löschen lassen, weder mit killbox noch mit dos, nichtmal im abgesicherten modus. killbox stürzte beim löschversuch ständig ab, auch im abgesicherten modus. die einzige rettung war hier nach dem ausschalten der systemwiederherstellung im abgesicherten modus killbox anzuweisen, das file BEIM NEUSTART erst zu löschen. seitdem war ich den plagegeist los YEAH! nach hartem kampf habe ich das system dank esafe und killbox und registryeditor jetzt immerhin soweit (s.log unten) *stolzsei* das pc-cillin geht noch nicht wieder, das ist von aber da das schrottdingen nich nicht vor unheil bewahrt hat, steht es jetzt sowieso auf der abschußliste. das ansonsten von mir geliebte und gepriesene adaware fand übrigens nichts von belang, soviel dazu. jetzt noch die startseite im IE über registry ändern, und dann solls wohl endlich passen. UFF!!! sooo, dann werd ich mal ... mich für 2 stunden aufs ohr hauen, bis ich mich dann für die arbeit fertig machen darf. welch spannender abend, wieder viel gelernt über das system. vielen dank für die hilfe! gruss aus osnabrück, carmen |
|
|
24.04.2006, 02:47
Beitrag
#4
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
Logfile of HijackThis v1.99.1
Scan saved at 03:45:42, on 24.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Timerle\Timerle.exe C:\VstaScan\VsAccess.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\DownloadsAusDemNet\Hijack\KillBox.exe C:\DownloadsAusDemNet\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Umax VistaAccess.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe habe ich etwas übersehen? außer der startseite des IE, darum kümmere ich mich morgen |
|
|
24.04.2006, 05:13
Beitrag
#5
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
okidoki, der sheriff ist härter als gedacht.
nachdem ich durch einen eingriff (löschen des wallpaper-keys) in der registry den blauen, nicht mehr veränderbaren desktophintergrund endlich wieder durch meinen ersetzen konnte, tritt ein neues problem auf. die auf dem desktop liegenden icons haben unter der schrift die blaue farbe des bildschirmhintergrunds übernommen. "durchsichtig" war gestern. heute ist permanent stahlblau. änderung über systemsteuerung>system> eigenschaften brachte keine veränderung. erstens war dort ein häkchen bei durchsichtig, zweitens kann ichs hier rausnehmen oder auch im abgesicherten modus, es ändert sich rein gar nichts. der abgesicherte modus läßt sich neuerdings übrigens nur mit netzwerkunterstützung laden. habs aufgegeben, nachdem er mich ungefähr 4 minuten warten ließ. dafür lädt er den abgesicherten modus mit netzwerkunterstützung ratz fatz. pc cillin meckert natürlich auch immer noch. hin und wieder stürzt der pc beim herunterfahren ab, ein speicherabbild wird erstellt (gestern insgesamt 3x passiert, zuletzt fehlermeldung: pagefault in nonpaged area, davor jedes mal eine andere fehlermeldung vor dem erstellen des speicherabbilds). was soll man dazu sagen? top arbeit, programmierer des spysherrifs! wenn man mal nichts zu tun hat, sollte man sich mal solch ein süsses progrämmchen auf den pc holen. bin schwer begeistert. könnt kot(z)en. jemand ne idee, wie ich diese blaue hinterlegung der schriften wegbekomme? welcher reg-key ist dafür verantwortlich? will nicht schon wieder das system platt machen, habe meine neue festplatte gerade erst wieder so hin, daß man vernünftig mit den programmen arbeiten kann. danke für die hilfe, carmen |
|
|
24.04.2006, 05:17
Beitrag
#6
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
Logfile of HijackThis v1.99.1
Scan saved at 06:14:39, on 24.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\sstray.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Timerle\Timerle.exe C:\VstaScan\VsAccess.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\DownloadsAusDemNet\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ie?hl={SUB_RFC1766} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie?hl={SUB_RFC1766} R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ie?hl={SUB_RFC1766} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de/ie?hl={SUB_RFC1766} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmail.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de/ie?hl={SUB_RFC1766} R3 - Default URLSearchHook is missing O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Umax VistaAccess.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe |
|
|
24.04.2006, 07:26
Beitrag
#7
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Obwohl ich neu Aufsetzen wuerde, musst du auf jeden Fall nach der Reinigung alle Passworte und aehnliches aendern.
Wenn du reinigen willst, mache bitte folgendes: Nutze diesen Cleaner, wie beschrieben: http://siri.geekstogo.com/SmitfraudFix_De.php Nutze datfindbat: http://virus-protect.org/datfindbat.html Kopiere aus jeder TXT ungefaehr die letzten 3 Monate und fuege sie hier ein. Fixe diese Eintraege: R3 - Default URLSearchHook is missing O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll -------------------- MfG Ralf
|
|
|
24.04.2006, 21:23
Beitrag
#8
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
habe gerade den spybot drüberlaufen lassen.
vielleicht hilfts ja wem: Spy Sheriff: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-1960408961-1958367476-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn!=dword:0 Windows.Explorer: Benutzer-Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-1960408961-1958367476-682003330-500\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn!=W=0 Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0 Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0 Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0 das scheint ja ein wirklich ausgebuffter sheriff zu sein. aber den transparent modus habe ich immer noch nicht gefunden jetzt gehts an den smit - danke für die tolle hilfe! |
|
|
24.04.2006, 21:36
Beitrag
#9
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
böhmische dörfer, teil 1 : datfindbat:
QUOTE Verzeichnis von C:\WINDOWS\system32 24.04.2006 05:29 2.206 wpa.dbl 24.04.2006 03:53 0 8104297.jun 24.04.2006 00:41 552 d3d8caps.dat 23.04.2006 21:06 20.465 rpcc.exe 23.04.2006 20:51 4.598 KGyGaAvL.sys 23.04.2006 20:51 88 FF17532295.sys 23.04.2006 20:50 15.360 BASSMOD.dll 17.04.2006 04:14 23.392 nscompat.tlb 17.04.2006 04:14 16.832 amcompat.tlb 14.04.2006 21:38 115.768 FNTCACHE.DAT 06.04.2006 21:48 5.143.456 MRT.exe 30.03.2006 11:26 1.492.480 shdocvw.dll 30.03.2006 03:16 18.944 xpsp3res.dll 23.03.2006 22:34 3.074.560 mshtml.dll 18.03.2006 13:09 615.424 urlmon.dll 17.03.2006 11:11 679.424 inetcomm.dll 17.03.2006 06:03 8.493.056 shell32.dll 17.03.2006 02:38 28.672 verclsid.exe 10.03.2006 06:09 5.533.696 wmp.dll 07.03.2006 00:52 6.919 jupdate-1.5.0_06-b05.log 04.03.2006 05:34 664.064 wininet.dll 04.03.2006 05:34 474.624 shlwapi.dll 04.03.2006 05:34 146.432 msrating.dll 04.03.2006 05:34 532.480 mstime.dll 04.03.2006 05:34 39.424 pngfilt.dll 04.03.2006 05:34 448.512 mshtmled.dll 04.03.2006 05:34 1.056.256 danim.dll 04.03.2006 05:34 205.312 dxtrans.dll 04.03.2006 05:34 55.808 extmgr.dll 04.03.2006 05:34 96.768 inseng.dll 04.03.2006 05:34 251.392 iepeers.dll 04.03.2006 05:34 152.064 cdfview.dll 04.03.2006 05:34 1.022.976 browseui.dll 14.02.2006 09:20 550.120 LegitCheckControl.dll 06.02.2006 00:18 176.167 rmoc3260.dll 06.02.2006 00:18 5.632 pndx5032.dll 06.02.2006 00:18 6.656 pndx5016.dll 06.02.2006 00:18 278.528 pncrt.dll 06.02.2006 00:09 39.992 perfc009.dat 06.02.2006 00:09 311.604 perfh009.dat 06.02.2006 00:09 316.594 perfh007.dat 06.02.2006 00:09 48.156 perfc007.dat 06.02.2006 00:09 723.744 PerfStringBackup.INI 05.02.2006 21:11 845.968 AI - Series.scr 05.02.2006 20:57 239 NVU001.nvu 05.02.2006 20:35 261 $winnt$.inf 05.02.2006 20:30 2.951 CONFIG.NT 05.02.2006 20:28 488 WindowsLogon.manifest 05.02.2006 20:28 488 logonui.exe.manifest 05.02.2006 20:28 749 ncpa.cpl.manifest 05.02.2006 20:28 749 cdplayer.exe.manifest 05.02.2006 20:28 749 sapi.cpl.manifest 05.02.2006 20:28 749 nwc.cpl.manifest 05.02.2006 20:28 749 wuaucpl.cpl.manifest 05.02.2006 20:26 21.740 emptyregdb.dat 05.02.2006 19:22 0 h323log.txt 18.01.2006 13:05 57.344 avsda.dll 04.01.2006 04:35 68.096 webclnt.dll 30.12.2005 20:16 77.824 xvid.ax 30.12.2005 20:10 761.856 xvidcore.dll 29.12.2005 03:54 280.064 gdi32.dll 08.12.2005 13:56 65.536 QuickTimeVR.qtx 08.12.2005 13:56 49.152 QuickTime.qts 07.12.2005 18:05 716.800 divxdec.ax 07.12.2005 18:05 663.552 divx_xx11.dll 07.12.2005 18:05 679.936 divx_xx07.dll 07.12.2005 18:05 679.936 divx_xx0c.dll |
|
|
24.04.2006, 21:39
Beitrag
#10
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
QUOTE SmitFraudFix v2.34 Scan done at 22:36:14,60, 24.04.2006 Run from C:\DownloadsAusDemNet\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" [HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ömm jaaa?!?! geh ich recht in der annahme, daß diese hier: "browseui.dll" ein kleines problem hat? edit: lesbarer gemacht Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:58 |
|
|
24.04.2006, 21:51
Beitrag
#11
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
soooo, melde vollzug:
QUOTE SmitFraudFix v2.34 Scan done at 22:42:56,59, 24.04.2006 Run from C:\DownloadsAusDemNet\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» End das war ja einfacher, als ich dachte. aber leider wirkungslos. nach dem neustart war erstmal der desktophintergrund wieder verschwunden, den habe ich dann nochmal drüber installiert, leider sind die blau unterlegten icon-beschreibungen immer noch da und auch sonst scheint sich nicht viel getan zu haben. hmm jemand noch ne idee??? Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 21:57 |
|
|
24.04.2006, 22:44
Beitrag
#12
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 61 Mitglied seit: 22.03.2006 Mitglieds-Nr.: 4.656 |
@osnabrueck
#Diese Datei C:\Programme\Timerle\Timerle.exe hier überprüfen & Ergebnis posten http://virusscan.jotti.org/de #PC neustarten #Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen. #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken R3 - Default URLSearchHook is missing O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) #PC neustarten--> abgesicherter Modus Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche: Falls vorhanden C:\WINDOWS\system32\srwhost.exe C:\WINDOWS\system32\srshost.exe c:\secure32.html C:\WINDOWS\system32\winbrume.dll C:\WINDOWS\system32\eventwvr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe C:\WINDOWS\SYSTEM32\senssrv.dll #PC neustarten--> abgesicherter Modus Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen. Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Inhalt folgende ordner loeschen: C:\WINDOWS\temp---> Inhalt löschen C:\WINDOWS\Prefetch---> Inhalt löschen #Scane mit Symantec Security Check ---->klicke auf Viren-erkennung (Virus Detection) dann Start. Downloading ActiveX erlauben,das Ergebnis hier posten. (Bitte am Ende) --->Mit Internet Explorer #Alle wichtigten Passwärter ändern Bitte Folgende Ergebnis posten! #PC neustarten: #Neue HijackThis Log, den Report des Ewido Scans, Symantec Security Check Ergebnis & das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten. Gruss Mopao |
|
|
24.04.2006, 23:51
Beitrag
#13
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
QUOTE(Mopao @ 24.04.2006, 23:43) @osnabrueck #Diese Datei C:\Programme\Timerle\Timerle.exe hier überprüfen & Ergebnis posten http://virusscan.jotti.org/de das ist nur mein wecker auf dem pc, der ist stammt von einer seriösen seite und ist sauber. QUOTE #PC neustarten--> abgesicherter Modus Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken R3 - Default URLSearchHook is missing O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) das geht doch mit dem hijack this nicht mehr oder hab ich doch was übersehen? ich schau nochmal nach. QUOTE #PC neustarten--> abgesicherter Modus Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche: Falls vorhanden C:\WINDOWS\system32\srwhost.exe C:\WINDOWS\system32\srshost.exe c:\secure32.html C:\WINDOWS\system32\winbrume.dll C:\WINDOWS\system32\eventwvr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe C:\WINDOWS\SYSTEM32\senssrv.dll die dateien sind schon gelöscht, alle dateien anzeigen ist immer aktiviert. rest kommt gleich als edit vielen dank für deine mühe!!! Der Beitrag wurde von osnabrueck bearbeitet: 24.04.2006, 23:59 |
|
|
25.04.2006, 00:58
Beitrag
#14
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
hallo mopao,
tut mir leid, daß ich dich solange warten lassen habe - dieses "ich poste gleich die ergebnisse" war wohl etwas voreilig... und, NATÜRLICH kann man die einträge mit hijackthis fixen, war klar, daß du völlig richtig gelegen hast. ich habe hier schon den programmkoller ...soviele neue programme heute, da wird man ja ganz wuschig also, zwischenresultate: QUOTE smitRem © log file
version 2.8 by noahdfear Microsoft Windows XP [Version 5.1.2600] Running from C:\Dokumente und Einstellungen\Administrator\Desktop\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright© 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright© 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 1896 'explorer.exe' Killing PID 1896 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright© 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\system32\browseui.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! |
|
|
25.04.2006, 01:01
Beitrag
#15
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
QUOTE Logfile of HijackThis v1.99.1 Scan saved at 01:23:42, on 25.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\DownloadsAusDemNet\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.google.de/ie?hl={SUB_RFC1766} O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareBlock Class - {0A87E45F-537A-40B4-B812-E2544C21A09F} - C:\Programme\SpyCatcher 2006\SCActiveBlock.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SpyCatcher Reminder] "C:\Programme\SpyCatcher 2006\SpyCatcher.exe" reminder O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Timerle] C:\Programme\Timerle\Timerle.exe -q O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Umax VistaAccess.lnk = ? O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: SpyCatcher Protector.lnk = C:\Programme\SpyCatcher 2006\Protector.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .htm: C:\Programme\\Netscape\\Netscape Browser\PLUGINS\npTrident.dll O20 - AppInit_DLLs: interceptor.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe was ist denn das??? gleich mal nachsehen Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 01:02 |
|
|
25.04.2006, 01:05
Beitrag
#16
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
QUOTE -------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 01:45:44, 25.04.2006 + Report-Checksumme: 2B68FF5 + Scanergebnis: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9YCHDACP\11500[1].exe -> Dropper.Small.na : Gesäubert mit Backup C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsofteup.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@microsoftwga.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.19:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.20:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.22:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.23:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.24:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.25:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.26:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.27:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.28:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.29:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.39:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.40:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.41:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.42:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.43:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.44:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.54:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup :mozilla.55:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup :mozilla.58:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert mit Backup :mozilla.89:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.90:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.91:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.92:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.93:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.94:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.99:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup :mozilla.100:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup :mozilla.101:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup :mozilla.102:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup :mozilla.103:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Euroclick : Gesäubert mit Backup :mozilla.109:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup :mozilla.110:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert mit Backup :mozilla.116:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.117:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.118:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.132:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup :mozilla.133:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup :mozilla.134:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup :mozilla.135:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup :mozilla.139:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Com : Gesäubert mit Backup :mozilla.142:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup :mozilla.143:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup :mozilla.144:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup :mozilla.145:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup :mozilla.163:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup :mozilla.164:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup :mozilla.165:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Ru4 : Gesäubert mit Backup :mozilla.180:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Hotlog : Gesäubert mit Backup :mozilla.184:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup :mozilla.185:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert mit Backup :mozilla.203:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.221:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Oewabox : Gesäubert mit Backup :mozilla.244:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup :mozilla.245:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup :mozilla.246:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup :mozilla.247:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup :mozilla.251:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.252:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Spylog : Gesäubert mit Backup :mozilla.257:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup :mozilla.258:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup :mozilla.259:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert mit Backup :mozilla.271:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup :mozilla.273:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup :mozilla.274:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup :mozilla.283:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert mit Backup :mozilla.299:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yadro : Gesäubert mit Backup :mozilla.303:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup :mozilla.304:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adition : Gesäubert mit Backup :mozilla.306:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup :mozilla.307:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup :mozilla.332:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Masterstats : Gesäubert mit Backup :mozilla.337:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup :mozilla.338:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup :mozilla.339:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup :mozilla.340:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup :mozilla.341:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Tfag : Gesäubert mit Backup :mozilla.343:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup :mozilla.344:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup :mozilla.345:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.346:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup :mozilla.350:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Onestat : Gesäubert mit Backup :mozilla.351:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Onestat : Gesäubert mit Backup :mozilla.382:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup :mozilla.383:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\kaj4l41c.default\cookies.txt -> TrackingCookie.Googleadservices : Gesäubert mit Backup C:\Programme\Internet Explorer\update.exe -> Adware.BHO : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP1\A0000006.DLL -> Adware.BHO : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002208.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002209.exe -> Dropper.Small.na : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002210.dll -> Adware.BHO : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002212.exe -> Not-A-Virus.SpamTool.Win32.Agent.g : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002214.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup C:\System Volume Information\_restore{24E8698E-FD0F-4AC5-8F11-02A76596E0CA}\RP4\A0002218.exe -> Hijacker.StartPage.adi : Gesäubert mit Backup C:\!KillBox\viren.zip/senssrv.dll -> Downloader.Agent.afl : Gesäubert mit Backup C:\!KillBox\viren.zip/senssrv.dll( 1) -> Downloader.Agent.afl : Gesäubert mit Backup C:\!KillBox\viren.zip/srshost.exe -> Proxy.Agent.hy : Gesäubert mit Backup C:\!KillBox\viren.zip/srshostu.exe -> Proxy.Agent.bz : Gesäubert mit Backup C:\!KillBox\viren.zip/srwhost.exe -> Backdoor.Rbot.adf : Gesäubert mit Backup C:\!KillBox\viren.zip/taskdir.dll -> Proxy.Lager.aq : Gesäubert mit Backup C:\!KillBox\viren.zip/taskdir~.exe -> Not-A-Virus.SpamTool.Win32.Agent.g : Gesäubert mit Backup C:\!KillBox\viren.zip/winbrume.dll -> Adware.BHO : Gesäubert mit Backup C:\!KillBox\viren.zip/winl0gon.exe -> Dropper.Small.na : Gesäubert mit Backup C:\!KillBox\viren.zip/winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup C:\!KillBox\viren.zip/paytime.exe -> Hijacker.StartPage.adi : Gesäubert mit Backup C:\schrott\winstall.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup C:\schrott\tool3.exe -> Proxy.Small.bo : Gesäubert mit Backup C:\schrott\tool5.exe -> Hijacker.Small.kr : Gesäubert mit Backup C:\schrott\tool2.exe -> Not-A-Virus.Hoax.Win32.Renos.bw : Gesäubert mit Backup C:\sets\kleinzeugs\selfhtml811.zip/javascript/objekte/anzeige/string_substring.htm -> Worm.Feebs.em : Fehler beim Säubern D:\wasg all inclusive\download programme\rgl18.exe/of_play_ins_w_2039.exe -> Adware.OnFlow : Gesäubert mit Backup D:\wasg all inclusive\download programme\rgl18.exe/tsad.dll -> Adware.TimeSink : Gesäubert mit Backup D:\wasg all inclusive\download programme\rgl18.exe/tsadbot.exe -> Adware.TimeSink : Gesäubert mit Backup D:\wasg all inclusive\download programme\rgl18.exe/of_play_ins_w_2039.exe -> Adware.OnFlow : Gesäubert mit Backup D:\wasg all inclusive\download programme\rgl18.exe/tsad.dll -> Adware.TimeSink : Gesäubert mit Backup D:\wasg all inclusive\download programme\rgl18.exe/tsadbot.exe -> Adware.TimeSink : Gesäubert mit Backup D:\kleinzeugs\selfhtml811.zip/javascript/objekte/anzeige/string_substring.htm -> Worm.Feebs.em : Fehler beim Säubern ::Report Ende dass ausgerechnet das selfhtml811 einen worm haben soll, kann ich irgendwie nicht glauben. ich habs von der originalseite. strange. jaaa, dann werd ich mal... weiterziehen zu symantec! vielen, herzlichen dank, wenn ich einen hut auf hätte, würde ich ihn ziehen. top anleitung, bin begeistert Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 01:05 |
|
|
25.04.2006, 02:12
Beitrag
#17
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
YEAHHHHHHHHHHHHHHH SIEEEEEEEG!!!!!
Wir haben es geschafft! Symantec: QUOTE C:\Recycled\Dc4.exe is infected with Download.Trojan C:\Recycled\Dc5.exe is infected with Trojan.Adclicker einmal papierkorb leeren und.... würd sagen: WIR HABENS GEPACKT! *freujubelstrahltotalrumhüpfjubeltanzaufführ* 1000 Dank! Wen kann ich wo zu einem Kaffee einladen?! PARTY!!! und als besonderer bonus: auch die icons haben wieder eine transparente farbe auf dem desktop. ahhhh soooo herrlich !!!! schubschubiduah! |
|
|
25.04.2006, 04:47
Beitrag
#18
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Es fehlen noch die anderen Teile von datfindbat.
Folgende Dateien bitte an virus@rokop-security.de schicken: c:\windows\system32\rpcc.exe c:\windows\system32\KGyGaAvL.sys Die Meldung bei selfhtml811 halte ich fuer einen Fehlalarm Nachrtrag, in diesem Ordner befinden sich noch einige DLL Dateien, deren Name mit IBM beginnt, diese musst du auch noch loeschen C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders -------------------- MfG Ralf
|
|
|
25.04.2006, 11:23
Beitrag
#19
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 21 Mitglied seit: 23.04.2006 Mitglieds-Nr.: 4.834 Betriebssystem: xp sp2 Virenscanner: antivir Firewall: keine |
im system verzeichnis sind keine ibm dateien mehr übrig geblieben.
die einzigen ibm dateien, die noch auf dem rechner sind, sind: in c:\windows\inf: ibmvcap.inf und ibmvcap.pnf im windows\system gab es mal eine ibm00004-datei, die hatte ich zwischendurch schonmal gelöscht. die suche nach ibm* auf c: inkl aller verzeichnisse, inkl. versteckten dateien etc. gab keine weiteren *ibm* dateien. die mail an virus@rokop geht gleich raus. nochmal herzlichen dank für die unterstützung! ich bin mir sicher, daß ich ohne eure hilfe nicht auch nur annähernd soweit gekommen werde. bei fragen- einfach mal profis fragen toll! danke schön!!!! Carmen edit: mail ist gerade raus Der Beitrag wurde von osnabrueck bearbeitet: 25.04.2006, 11:30 |
|
|
25.04.2006, 11:24
Beitrag
#20
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Den Reste der datfind Dateien wuerden wir gerna auch noch sehen!
-------------------- MfG Ralf
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 28.05.2024, 03:02 |