Bin ich meine Trojaner usw. los ?

Dieses Thema Bin ich meine Trojaner usw. los ? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von nicolebw, 26. Okt. 2005.

Thema: Bin ich meine Trojaner usw. los ? hi. hatte einige dialer ungewollt auf meinem rechner gehabt. wollte nun wissen ob ich wirklich alles losgeworden...

  1. hi.

    hatte einige dialer ungewollt auf meinem rechner gehabt. wollte nun wissen ob ich wirklich alles losgeworden bin. kann auch nochmal nachschauen welche trojaner dafür verantwortlich waren.
    wurde während ich im internet war, einfach auf irgendwelche sexseites geschickt oder wollte sich ein dialer einfach einwählen. das ist nun aber vorbei. das einzige was jetzt noch passiert ist, dass ich auf websearch lande, wenn ich eine seite eingetippt habe oder dass der laptop, wenn ich online bin, durch einen klick auf arbeitsplatz mit dem internet verbinden will. wie bekomme ich den müll runter? habe schon cwshredder versucht.
    wie bekomme ich ausserdem mein administrator kennwort raus, wenn ich es gar nicht mehr kenne, mich aber auch nicht erinnere, dass ich einen eingetippt habe, weil ich eigentlich immer drei gleiche kennwörter verwende?
    hier aber erstmal meine hijackthis logfile. ist da alles sauber?


    Logfile of HijackThis v1.99.1
    Scan saved at 20:06:51, on 26.10.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\programme\0190 warner\w0svc.exe
    C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\WINDOWS\system32\ICO.EXE
    C:\Programme\Sony\HotKey Utility\HKserv.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\PROGRA~1\0190WA~1\WARN0190.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\PowerPanel\Program\PcfMgr.exe
    C:\Programme\Sony\HotKey Utility\HKWnd.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Special\Special.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
    c:\programme\special\WsRasMon.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    O2 - BHO: (no name) - SOFTWARE - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
    O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - Global Startup: PowerPanel.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
    O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe


    ps: bin laie. kenn mich nicht so gut mit pcs aus. wenn ich etwas machen soll, bitte genau hinschreiben wie und wo ich es machen soll.
    habe antivir, lavasoft ad aware und spybot: search & destroy auf meinem pc.
    wenn ihr mehr informationen braucht, fragt mich einfach.
    habe auch schonmal alle running processes aus dem taskmanager übers internet gesucht und keine datei scheinte verdächtig zu sein.
    auch unter regedit: hkey_local_machine\software\microsoft\windows\currentversion\run scheint nix auffälliges zu sein.


    danke schonmal

    nicole
     
  2. sehr suspekt - im abgesicherten Modus [F8] löschen

    hier ist der Trojaner
    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2044

    auch mal den Downloaded Program Files Ordner entmisten

    dies hier noch mit HijackThis fixen

    Hier deine Auswertung:
    http://www.hijackthis.de/logfiles/c5722da940d0718146f9869aa721da67.html

    pan_fee
     
  3. hi.

    erstmal danke für die schnelle antwort.

    werde morgen gleich

    1. C:\Programme\t20w7z6x\t20w7z6x.dll
         im abgesicherten Modus [F8] löschen. den kompletten ordner.

    2. O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
        mit hilfe folgender seite loswerden: http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2044

    3. Downloaded Program Files Ordner entmisten, also komplett entleeren, wenn ich ihn finde...

    4. O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
        mit HijackThis fixen

    5.  C:\WINDOWS\System32\alg.exe
        Überflüssiger Windows-Dienst, wenn Sie ICS nicht benutzen!

         loswerden, wenn ich wüsste ob ich ihn brauche oder nicht....hier nochmal HILFE bitte

    6. O2 - BHO: (no name) - SOFTWARE - (no file)   
        Unnötig - Nicht bekanntes Programm.
        Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

        loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

    7. O4 - Global Startup: PowerPanel.lnk = ?   
        Nicht bekanntes Programm.
        Der Eintrag ist unnötig und kann entfernt werden!

        oder brauche ich den, um zu sehen wie lange mein akku noch hält (da ich ja einen laptop benutze)
        loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

    8. O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000   
        Wenn der Eintrag->Nach Microsoft &Excel exportieren-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
       Wenn der Eintrag->' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

      O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
       Wenn der Eintrag->Sun Java Konsole-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe   
       Wenn der Eintrag->Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

      O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe   
       Wenn der Eintrag->Windows Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

       werden, glaube ich, nicht mehr benötigt, oder? HILFE auch hier, bitte. woher weiss ich, ob ich das alles noch brauche, und wie werde ich es los?

    9. O15 - Trusted Zone: *.sony-europe.com
        O15 - Trusted Zone: *.sonystyle-europe.com
        O15 - Trusted Zone: *.vaio-link.com
        Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter->Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.

       diese seiten habe ich soweiso noch nie besucht. ich kann sie doch auch besuchen, wenn sie hier erst gar nicht auftauchen, oder? darf ich das auch loswerden, wenn ja, wie? Bitte auch hier HELFEN   

    10.   O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134   
           Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
           Die Eingegebene IP oder Domäne->62.104.191.241 62.104.196.134' wurde als gut identifiziert.

        muss ich hier noch etwas ändern? woher weiss ich ob die seite zum isp gehört? HILFE, bitte

    11.  eine neue hijackthis logfile machen und hier posten


    danke schonmal. und tschuldigung, dass ich soviele fragen habe und auch sonst viel geschrieben habe

    gruss nicole
     
  4. genau

    lösche msexploren.exe im Windows-Verzeichnis im abgesicherten Modus, schau auch in die Registry (Start/Ausführen/regedit) unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run nach, ob hier auch die msexploren.exe drin ist. Wenn ja, löschen.
    Autostarteinträge finden:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=233


    Der Ordner ist unter C:\Windows zu finden (C:\Windows\Downloaded Program Files).

    HijackThis löscht durch das Fixen (Button Fix checked) den Registry-Eintrag SystemCheck2 unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.

    Finger weg, ist eine Systemdatei: http://www.wintotal.de/Spyware/index.php?Filter=A#Spyware164

    das sind BHO-Programmerweiterungen (Browser Helper Objects), die sich im Internet-Explorer Menü Extras breit machen.

    genau, hier würde ich mal gar nichts machen.

    naja, der Eintrag ist von Excel (Office 2002) und harmlos.

    gehört zu Sun Java: http://www.wintotal.de/softw/?id=1522
    würde da mal nichts machen.

    wenn du SUN Java noch installiert hast, belasse es einfach so.

    Windows Messenger - belasse das so.

    siehe oben ;)

    Vertrauenswürdige Sites zu finden im Internet-Explorer - Extras - Internetoptionen - Sicherheit - Vertrauenswürdige Sites - »Sites«. Die Einträge sind von Sony und harmlos.

    das ist dein Provider Freenet ;) absolut in Ordnung

    ja - aber erst, wenn du alles abgearbeitet hast.


    pan_fee
     
  5. hi.

    habe mal alles durchgeführt und meine hijackthis logfile sieht jetzt so aus:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:09:00, on 27.10.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\WINDOWS\system32\ICO.EXE
    C:\Programme\Sony\HotKey Utility\HKserv.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\PROGRA~1\0190WA~1\WARN0190.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\PowerPanel\Program\PcfMgr.exe
    c:\programme\0190 warner\w0svc.exe
    C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    C:\Programme\Sony\HotKey Utility\HKWnd.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - Global Startup: PowerPanel.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
    O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe


    sieht es gut aus? alles sauber?
    habe noch ein weiteres kleines problem unter winxp gepostet mit dem thema geräte oder anwendungen wurden deaktiviert. kann mir da noch einer helfen?
    danke

    nicole
     
  6. hi.

    aber immerhin bin ich den msexplorer.exe los.

    kann ich die hier nicht einfach über hijackthis fixen:


    O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
    O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)

    und die folgenden auch:

    O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
    O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
    O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab


    oder hätte ich vorher die systemwiederherstellung ausschalten sollen und alle vorhergenannten schritte nochmal durchführen?
    danke.

    nicole
     
  7. Hi Nicole,

    es ist immer gut, die Systemwiederherstellung beim Bereinigen auszuschalten. Viele Schädlinge nisten sich im _restore-Ordner (das ist der, der für die Wiederherstellung zuständig ist) ein.

    Bei einem Neustart aktivieren sich die Kerlchen dann wieder.

    Noch besser ist es, eine Bereinigung im abgesicherten Modus durchzuführen, weil dann die meisten Startdateien diverser Programme umgangen werden.

    Versuch mal ein Fixen im abgesicherten Modus (beim Booten F8 drücken, dann erscheint ein Menü aus dem du auswählen kannst)

    Anschließend wieder neu starten, wenn die Einträge verschwunden sind, ist alles OK.

    Wenn du DSL hast, ist der 0190-Warner übrigens überflüssig ;)

    Viel Glück.
    Dakota

    PS: du hast Hijackthis in einem temporären Ordner..... nicht gut!
    In einen gesonderten Ordner entpacken und dann erst ausführen, nicht aus dem zip-Ordner raus.
     
  8. hi.

    wie sieht jetzt meine hijackthis logfile aus?

    Logfile of HijackThis v1.99.1
    Scan saved at 19:49:58, on 28.10.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\programme\0190 warner\w0svc.exe
    C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\oodag.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\WINDOWS\system32\ICO.EXE
    C:\Programme\Sony\HotKey Utility\HKserv.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\PROGRA~1\0190WA~1\WARN0190.EXE
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Programme\PowerPanel\Program\PcfMgr.exe
    C:\Programme\Sony\HotKey Utility\HKWnd.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\hijackthis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - Global Startup: PowerPanel.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe



    habe kein dsl. habe aber inzwischen eine 0190er/0900er sperre über meinen telekom telefonanschluss eingerichtet.
    danke nochmal.

    nicole
     
  9. sehr gut ;)

    http://www.hijackthis.de/logfiles/d93acd1b1516b75bb352d50ce39f4b16.html

    pan_fee
     
Die Seite wird geladen...

Bin ich meine Trojaner usw. los ? - Ähnliche Themen

Forum Datum
Trojaner auf meinem PC Viren, Trojaner, Spyware etc. 17. Jan. 2005
Fehlermeldung beim remote Login zu meiner IP-Cam Windows 7 Forum Dienstag um 12:31 Uhr
nach eine Komplette Hardware-Wechsel kann ich meine Win 10Pro Lizenz wider aktivieren? Windows 10 Forum 20. Okt. 2016
Meine Bilder aus versehen gelöscht Windows 7 Forum 6. Juli 2016
Windows halbiert meine Download-Geschwindigkeit Windows 7 Forum 9. Mai 2016