- #1
N
nicolebw
Guest
hi.
hatte einige dialer ungewollt auf meinem rechner gehabt. wollte nun wissen ob ich wirklich alles losgeworden bin. kann auch nochmal nachschauen welche trojaner dafür verantwortlich waren.
wurde während ich im internet war, einfach auf irgendwelche sexseites geschickt oder wollte sich ein dialer einfach einwählen. das ist nun aber vorbei. das einzige was jetzt noch passiert ist, dass ich auf websearch lande, wenn ich eine seite eingetippt habe oder dass der laptop, wenn ich online bin, durch einen klick auf arbeitsplatz mit dem internet verbinden will. wie bekomme ich den müll runter? habe schon cwshredder versucht.
wie bekomme ich ausserdem mein administrator kennwort raus, wenn ich es gar nicht mehr kenne, mich aber auch nicht erinnere, dass ich einen eingetippt habe, weil ich eigentlich immer drei gleiche kennwörter verwende?
hier aber erstmal meine hijackthis logfile. ist da alles sauber?
Logfile of HijackThis v1.99.1
Scan saved at 20:06:51, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Special\Special.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
c:\programme\special\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
ps: bin laie. kenn mich nicht so gut mit pcs aus. wenn ich etwas machen soll, bitte genau hinschreiben wie und wo ich es machen soll.
habe antivir, lavasoft ad aware und spybot: search & destroy auf meinem pc.
wenn ihr mehr informationen braucht, fragt mich einfach.
habe auch schonmal alle running processes aus dem taskmanager übers internet gesucht und keine datei scheinte verdächtig zu sein.
auch unter regedit: hkey_local_machine\software\microsoft\windows\currentversion\run scheint nix auffälliges zu sein.
danke schonmal
nicole
hatte einige dialer ungewollt auf meinem rechner gehabt. wollte nun wissen ob ich wirklich alles losgeworden bin. kann auch nochmal nachschauen welche trojaner dafür verantwortlich waren.
wurde während ich im internet war, einfach auf irgendwelche sexseites geschickt oder wollte sich ein dialer einfach einwählen. das ist nun aber vorbei. das einzige was jetzt noch passiert ist, dass ich auf websearch lande, wenn ich eine seite eingetippt habe oder dass der laptop, wenn ich online bin, durch einen klick auf arbeitsplatz mit dem internet verbinden will. wie bekomme ich den müll runter? habe schon cwshredder versucht.
wie bekomme ich ausserdem mein administrator kennwort raus, wenn ich es gar nicht mehr kenne, mich aber auch nicht erinnere, dass ich einen eingetippt habe, weil ich eigentlich immer drei gleiche kennwörter verwende?
hier aber erstmal meine hijackthis logfile. ist da alles sauber?
Logfile of HijackThis v1.99.1
Scan saved at 20:06:51, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Special\Special.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
c:\programme\special\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
ps: bin laie. kenn mich nicht so gut mit pcs aus. wenn ich etwas machen soll, bitte genau hinschreiben wie und wo ich es machen soll.
habe antivir, lavasoft ad aware und spybot: search & destroy auf meinem pc.
wenn ihr mehr informationen braucht, fragt mich einfach.
habe auch schonmal alle running processes aus dem taskmanager übers internet gesucht und keine datei scheinte verdächtig zu sein.
auch unter regedit: hkey_local_machine\software\microsoft\windows\currentversion\run scheint nix auffälliges zu sein.
danke schonmal
nicole