Seite 1 von 2
1 2 LetzteLetzte
Zeige Ergebnis 1 bis 10 von 12

Thema: Counterspy

  1. 08.12.2005 21:46 #1
    Hanna85
    Hanna85 ist offline
    Einsteiger
    Registriert seit
    08.12.2005
    Beiträge
    6

    Rückmeldung an Ruby nach dem Urlaub ! Könnt ihr bitte diesen Log mal überprüfen?

    Hallo,

    Mein Laptop braucht in letzter Zeit immer länger zum hochfahren als üblich bzw. sonst. Deshalb wollte ich einmal überprüfen lassen, ob da alles mit rechten Dingen zugeht. Hier also mein Logfile:

    Code:
     Logfile of HijackThis v1.99.1
Scan saved at 21:36:29, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\WordWeb\wweb32.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QT4StBtn] C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WordWeb.lnk = C:\Programme\WordWeb\wweb32.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\System32\wweb32.dll/lookup.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84052220/netzip/RdxIE601.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E2B9C79-2C55-4A3D-988E-D481341CCB93}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
    Geändert von Speedy (03.01.2006 um 15:51 Uhr)
  2. 08.12.2005 23:51 #2
    Ruby
    Ruby ist offline
    Supermod a.D. Benutzerbild von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.408

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    Hallo Hanna85

    führe einen mwavscan durch

    Bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.

    Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

    Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

    1) Lege einen Ordner c:\bases an (Einführung in Windows)
    2) Download der -> mwav.exe <- diesen Link verwenden!
    3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
    4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
    5) Wechsle in den abgesicherten Modus von Windows
    6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
    7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:


    8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
    9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein



    -> jede Zeile in der "tagged as" steht.
    -> jede Zeile in der "infected" steht,

    markieren, und hier einfügen, weitersuchen usw.

    (Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

    Ganz unten steht die Zusammenfassung, diese auch hier posten :

    =>Total Number of Files Scanned:
    =>Total Number of Virus(es) Found:
    =>Total Number of Disinfected Files:
    =>Total Number of Files Renamed:
    =>Total Number of Deleted Files:
    =>Total Number of Errors:
    ***** Scanning complete. *****

    Poste das Ergebnis des Scan und ein neues HJT-Logfile.

    __________________
    Bitte helft uns diesen kostenlosen Service aufrecht zu erhalten

    PayPal-DE - Konto DE - PayPal-US - Konto EN
    you are welcome
    Ruby
  3. 09.12.2005 17:29 #3
    Hanna85
    Hanna85 ist offline
    Einsteiger
    Registriert seit
    08.12.2005
    Beiträge
    6

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    hier also mein ergebnis:

    Code:
    File C:\WINDOWS\pxwma.dll tagged as not-a-virus:AdWare.Win32.Webdir.b. No Action Taken.
File C:\WINDOWS\installer[ikg-10104,de].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINDOWS\pxwma.dll tagged as not-a-virus:AdWare.Win32.Webdir.b. No Action Taken.
File C:\Dokumente und Einstellungen\Hanna Sosa\Eigene Dateien\whatever\Programme\bearshare.exe tagged as not-a-virus:AdWare.Win32.180Solutions. No Action Taken.
File C:\Dokumente und Einstellungen\Hanna Sosa\Eigene Dateien\whatever\Programme\DivXPro511Adware.exe tagged as not-a-virus:AdWare.Win32.Gator.3202. No Action Taken.
File C:\Programme\Gemeinsame Dateien\dbapttal\dctdlreetc\tpneebhhf.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.
File C:\Programme\Gemeinsame Dateien\dbapttal\fdldnaja\lrnceand.exe tagged as not-a-virus:AdWare.Win32.Gator.a. No Action Taken.
File C:\WINDOWS\installer[ikg-10104,de].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINDOWS\pxwma.dll tagged as not-a-virus:AdWare.Win32.Webdir.b. No Action Taken.
File C:\WINDOWS\installer[ikg-10104,de].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINDOWS\pxwma.dll tagged as not-a-virus:AdWare.Win32.Webdir.b. No Action Taken.
    und

    Code:
    Fri Dec 09 11:44:07 2005 => ***** Scanning complete. *****
Fri Dec 09 11:44:07 2005 => Total Number of Files Scanned: 61165
Fri Dec 09 11:44:07 2005 => Total Number of Virus(es) Found: 11
Fri Dec 09 11:44:07 2005 => Total Number of Disinfected Files: 0
Fri Dec 09 11:44:07 2005 => Total Number of Files Renamed: 0
Fri Dec 09 11:44:07 2005 => Total Number of Deleted Files: 0
Fri Dec 09 11:44:07 2005 => Total Number of Errors: 3
Fri Dec 09 11:44:07 2005 => Time Elapsed: 01:33:36
Fri Dec 09 11:44:07 2005 => Virus Database Date: 2005/12/02
Fri Dec 09 11:44:07 2005 => Virus Database Count: 162735
 
Fri Dec 09 11:44:07 2005 => Scan Completed.
    und der neue logfile

    Code:
    Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QT4StBtn] C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84052220/netzip/RdxIE601.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E2B9C79-2C55-4A3D-988E-D481341CCB93}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
    bin etwas beunruhigt...
  4. 09.12.2005 21:03 #4
    Hanna85
    Hanna85 ist offline
    Einsteiger
    Registriert seit
    08.12.2005
    Beiträge
    6

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    so hier noch einmal der aktuellste logile:

    Code:
    Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [QT4StBtn] C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84052220/netzip/RdxIE601.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E2B9C79-2C55-4A3D-988E-D481341CCB93}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
    vielleicht könntet ihr mir aber trotzdem mal sagen, was ich wegen der 11(!) gefundenen Viren machen soll... wäre sehr nett.
  5. 10.12.2005 00:55 #5
    Ruby
    Ruby ist offline
    Supermod a.D. Benutzerbild von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.408

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    Hallo Hanna85

    es sind keine Viren, du hast Adware und Dialer auf dem Rechner.
    Lade dieses kostenlose Tool von Seeker runter: eScan-Check1.10.
    Damit ist es möglich auch die entdeckte Adware von deinem System zu entfernen.
    Entpacke 'eScan-Check1.10' in den neu zu erstellenden Ordner 'C:\escheck'.
    Öffne nun die 'mwav.log' im Ordner C:\bases.

    Hinweis: Verwende nun das Programm 'eScan-Check1.10', setze kein Häk'chen in 'Backup der gelöschten Dateien anlegen', aber 'Alle Dateien beim Neustart löschen' -> die zu löschenden Dateien anhaken und dann auf den Button 'Dateien löschen' klicken. Im Anschluss an diese Arbeiten den Rechner neu starten.

    Wenn du das gemacht hast, lösche das Logfile vom mwavscan ( mwav.log) und wiederhole ihn. Zeige uns bitte wieder die Ergebnisse.

    Abhängig von Deiner Netzverbindung solltest du den Dialer vielleicht auf Diskette sichern, falls sich deine Telefonrechnung erhöht (www.dialerschutz.de).
    __________________
    Bitte helft uns diesen kostenlosen Service aufrecht zu erhalten

    PayPal-DE - Konto DE - PayPal-US - Konto EN
    you are welcome
    Ruby
    Geändert von Ruby (10.12.2005 um 00:57 Uhr)
  6. 11.12.2005 23:06 #6
    Hanna85
    Hanna85 ist offline
    Einsteiger
    Registriert seit
    08.12.2005
    Beiträge
    6

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    so, hier das Ergebnis meines letzten Scans:

    Code:
    Sun Dec 11 22:56:45 2005 => ***** Scanning complete. *****
Sun Dec 11 22:56:45 2005 => Total Number of Files Scanned: 64860
Sun Dec 11 22:56:45 2005 => Total Number of Virus(es) Found: 0
Sun Dec 11 22:56:45 2005 => Total Number of Disinfected Files: 0
Sun Dec 11 22:56:45 2005 => Total Number of Files Renamed: 0
Sun Dec 11 22:56:45 2005 => Total Number of Deleted Files: 0
Sun Dec 11 22:56:45 2005 => Total Number of Errors: 2
Sun Dec 11 22:56:45 2005 => Time Elapsed: 01:39:33
Sun Dec 11 22:56:45 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 22:56:45 2005 => Virus Database Count: 162735
 
Sun Dec 11 22:56:45 2005 => Scan Completed.
    bin ich jetzt geheilt?
  7. 12.12.2005 04:48 #7
    Ruby
    Ruby ist offline
    Supermod a.D. Benutzerbild von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.408

    AW: Könnt ihr bitte diesen Log mal überprüfen?

    @ Hanna85

    nein, wir fangen gerade erst an.

    START > ausführen (schreib rein): cleanmgr > ok/[enter].
    Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
    Klicke ok.

    START > ausführen (schreib rein): %temp% > ok/[enter].
    Mach das für jedes Benutzerkonto.
    Du leerst damit den/die Ordner C:\Dokumente und Einstellungen\Dein Name\Lokale Einstellungen\Temp

    Lade eine kostenlose Trialversion von CounterSpy runter (Anleitung).

    Update das Programm online.
    Beende die Internet-Verbindung.
    Starte deinen Rechner neu auf in den abgesicherten Modus (Anleitung).
    Scanne deinen Rechner mit CounterSpy im abgesicherten Modus.
    Stelle das Programm so ein, dass es alles entfernt, was es findet.
    Speichere das Logfile.

    -> Poste bitte das CounterSpy Logfile. Danke.

    Das Programm hat keinen funktionierenden Uninstaller, wähle daher eines dieser beiden Programme:

    Total Installer scannt Registry und Dateisystem vor der Installation eines Programms und kann so Änderungen feststellen, die während der Installation vorgenommen werden. Bei der Deinstallation lassen sich alle Spuren eines Programms vom Rechner löschen. Sprache: multilingual, deutsch (Windows 95 / 98 / ME / NT / 2000 / XP)

    Uninstall Cleaner 1.0: Programme deinstallieren, fehlerhafte Einträge und gespeicherte Uninstall-Einträge aus der Registry entfernen. Sprache: deutsch, (Windows 98 / ME / NT / 2000 / XP) (Die dazugehörige Website bietet viel an interessanter Information rund um Netz und Sicherheit.)
    Know how - HijackThis (en) | i | Know how - HijackThis (de)
    Tipps & Tricks | Malware Guide | Need Help?
    Malware Complaints | UNITE | Zebulon.fr
  8. 03.01.2006 11:13 #8
    Hanna85
    Hanna85 ist offline
    Einsteiger
    Registriert seit
    08.12.2005
    Beiträge
    6

    Logfile

    Hallo,

    Ich bin endlich aus dem Urlaub zurück. Hier also mein CounterSpy Logfile:

    Code:
    Spyware Scan Details
Start Date: 03.01.2006 10:08:01
End Date: 03.01.2006 10:57:08
Total Time: 49 mins 7 secs 

Detected spyware

UltraVNC Commercial Remote Control  more information...
Details: A commerical remote control that allows full control of the machine installed on. These programs are typically installed by the computer owner or administrator and should only be removed if unexpected.
Status: Deleted

Infected files detected
c:\programme\ultravnc\winvnc.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WinVNC 


Twain Tech Adware  more information...
Details: Twain-Tech is an adware based Internet Explorer browser helper object that deliver targeted ads based on a user’s browsing patters. Twain-Tech does not provide any other relevant purpose other then to display pop-up ads.
Status: Deleted

Infected files detected
c:\windows\smdat32a.sys


RealVNC Commercial Remote Control  more information...
Details: VNC (Virtual Network Computing) software makes it possible to view and fully-interact with one computer from any other computer or mobile device anywhere on the Internet.
Status: Deleted

Infected files detected
c:\programme\ultravnc\winvnc.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run winvnc 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc\Security Security 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc\Enum 0 Root\LEGACY_WINVNC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc Type 272
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc Start 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc ImagePath "C:\Programme\UltraVNC\WinVNC.exe" -service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc DisplayName VNC Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winvnc ObjectName LocalSystem
HKEY_LOCAL_MACHINE\Software\ORL 
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default TurboMode 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default FileTransferEnabled 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default BlankMonitorEnabled 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default DefaultScale 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default UseDSMPlugin 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default DSMPlugin 
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default SocketConnect 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default HTTPConnect 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default XDMCPConnect 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default AutoPortSelect 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default InputsEnabled 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default LocalInputsDisabled 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default IdleTimeout 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default QuerySetting 2
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default QueryTimeout 10
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default LockSetting 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default RemoveWallpaper 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default Password 
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default PollUnderCursor 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default PollForeground 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default PollFullScreen 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default OnlyPollConsole 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default OnlyPollOnEvent 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default EnableDriver 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default EnableHook 1
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\Default EnableVirtual 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 DebugMode 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 DebugLevel 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 AllowLoopback 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 MSLogonRequired 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 UseDSMPlugin 0
HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3 DSMPlugin 


KaZaA P2P  more information...
Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking SlowInfoCache 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\app management\arpcache\p2p networking Changed 0


GmbH Dialer  more information...
Details: GmbH is a dialer that dials high-cost international phone calls using a modem.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/ieloader.dll 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/ieloader.dll .Owner {1E50B82A-0D78-48B9-97EC-391B2F81CE8A}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\moduleusage\c:/windows/downloaded program files/ieloader.dll {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} 


Cok.ad.yieldmanager Cookie  more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@ad.yieldmanager[1].txt


Claria.DashBar Cookie Cookie  more information...
Details: DashBar cookie is a small text file placed on the user's computer after when visiting the Claria/GAIN DashBar website.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@belnk[1].txt


Com.com Cookie  more information...
Details: Redirects to cnet.com
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@com[2].txt


RealMedia.com Cookie  more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@realmedia[1].txt


Revenue.net Cookie  more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@revenue[2].txt


Cok.AssasinTrojan2.0 Cookie  more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\hanna sosa\cookies\hanna sosa@statcounter[1].txt
    was steht jetzt noch an?

    hallo?
    Geändert von Hanna85 (04.01.2006 um 13:41 Uhr)
  9. 08.01.2006 11:08 #9
    gast
    Gast

    AW: Logfile

    könnt ihr mir bitte noch mal helfen?

    ich möcht bloß wissen, wie schlimms jetzt noch aussieht... und ob der dialer endlich weg is...
  10. 08.01.2006 13:59 #10
    Ruby
    Ruby ist offline
    Supermod a.D. Benutzerbild von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.408

    AW: Logfile

    Hallo Hanna85

    gewöhne dir bitte an, die obersten 4 Zeilen eines HJT-Logfiles mit zu posten.

    Bitte die Systemwiederherstellung deaktivieren.

    Leere nun den Quarantäne-Ordner von Counterspy, wiederhole den Scan mit Counterspy und poste die neuen Ergebnisse.
    Know how - HijackThis (en) | i | Know how - HijackThis (de)
    Tipps & Tricks | Malware Guide | Need Help?
    Malware Complaints | UNITE | Zebulon.fr
Seite 1 von 2
1 2 LetzteLetzte
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

     

Ähnliche Themen

  1. Please add CounterSpy
    Von venicecore im Forum Archiv
    Antworten: 7
    Letzter Beitrag: 14.11.2005, 20:07

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

Foren-Regeln