Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: namawude.com am 23.03.09, 21:26:54
-
ich habe ein problem beim oeffnen der regedit es kommt immer eine message dass regedit desaktiviert sei keine Ahnung wie oder warum aber hat jemand eine ahnung wie ich es aktivieren kann danke im voraus
-
Versuch´s mal so:
http://www.pctipp.ch/praxishilfe/kummerkasten/windowsxp/24952/bearbeiten_der_registry_aktivieren_deaktivieren.html
-
danke dir fuer deinen Tipp hat mir jemand auch empfohlen aus der chat.zwar wird der regedit von xp antispy aktiviert aber nach ein paar minuten wird es automatisch deaktiviert.
bin zu regedit nachdem ich es mit xp antispy aktiviert habe zu HKEY_CURRENT_USER/software/miocrosoft/windows/currentvision/polices/system.
da habe ich aber festgestellt dass DISABLEREGISTRYTOOLS gar nicht vorhanden ist da musste ich eine neue REG_DWORD mit den namen DISABLEREGISTRYTOOLS erstellen und auf 0 setzen alles wieder ok danke euch fuer euere hilfe
-
Da sind gäste am werke.Bitte datensicherung erstellen mit knoppix.Dann logfile von Hijacckthis hier einstellen,für einen ersten überblick.
System muß wahrscheinlich neu instaliert werden.
-
Logfile of Trend Micro HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) v2.0.2
Scan saved at 13:32:58, on 25/03/2009
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP3 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\lsass.exe
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download (http://www.computerhilfen.de/fachbegriffe-d-Download.html) &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Enable Right Click - {549D3A89-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: RawRequest - {549D3A97-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Analyze Frames - {549D3A99-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Add to VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra 'Tools' menuitem: Add to &VideoGet - {88CFA58B-A63F-4A94-9C54-0C7A58E3333E} - C:\PROGRA~1\NUCLEA~1\VideoGet\Plugins\VIDEOG~1.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Sleuth - {F3D1ABFB-AB7F-4ea2-A9B2-23D41D1CDCF6} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3839C278-D645-4BF8-911E-9DF311A7B51B}: NameServer = 192.168.50.55 196.12.209.5
O23 - Service: Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Mobile Device - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Network Log (Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Network Log Manage) - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\Netlog.exe (file missing)
--
End of file - 5138 bytes
-
FIXEN :
[X] - O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
Prüfen : neutral....
[?] - O9 - Extra button: Enable Right Click - {549D3A89-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
[?] - O9 - Extra button: RawRequest - {549D3A97-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
[?] - O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
[?] - O9 - Extra button: Analyze Frames - {549D3A99-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll
[?] - O9 - Extra button: Sleuth - {F3D1ABFB-AB7F-4ea2-A9B2-23D41D1CDCF6} - C:\WINDOWS\system32\shdocvw.dll
IE8 ist der Stand der Dinge !!!!
-
scheint alles ok oder nicht
ja ich weiss IE6 ist nicht der Stand der dinge aber ich benutze meistens Opera
-
Kein Anti-Viren-Programm?
-
scheint alles ok oder nicht
ja ich weiss IE6 ist nicht der Stand der dinge aber ich benutze meistens Opera
Kannst Du lesen ? s.O. Fixen ....
http://www.hijackthis.de/ <<< LOG darein & auswerten !!
-
vielen dank HCK fuer deine hilfe
-
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
Absichlich eine leere Startseite?
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\lsass.exe
Was ist mit diesem???
O9 Einträge werden mit fixen nicht gelöscht sondern es wird nur die Verknüpfung entfernt
Diese Dateien sind danach im abgesicherten Modus manuell zu löschen
Bei dir läuft Bonjour
Dies wird von apple (http://www.computerhilfen.de/fachbegriffe-a-Apple.html) ungefragt mitinstalliert,wenn du es nicht benötigst bitte deinstallieren
Sollte es sich auf herkömmlichen Weg nicht entfernen lassen teile das bitte mit
Schritt 1
Bitte lade die Dateien aus der Code-Box bei Virustotal (http://www.virustotal.com/) überpfüfen
C:\WINDOWS\system32\shdocvw.dllSollte die Datei als schädlich erkannt werden bitte noch nicht entfernen
Schritt 2
Lade dir MalwareBytes (http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html) herunter
- speichere die mbam setup.exe auf deinem Desktop
- Installiere es in den vorgegebenen Pfad
- Nun Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) es online (Reiter Updates)
- Starte nun die mbam.exe
- Führe bitte einen vollständigen Scan durch
- nach dem der Scan beendet wurde klicke auf Zeige Resultate
- Bitte alle Funde markieren und auf Löschen klicken
- Poste das komplette Logfile (aus dem Textdokument)
Schritt 3
Systemdetails mit RSIT prüfen
- Lade Random's System Information Tool (RSIT) (http://images.malwareremoval.com/random/RSIT.exe) von random/random herunter,
- speichere es auf Deinem Desktop.
- Starte mit Doppelklick die RSIT.exe.
- Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
- Wenn Du HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
- In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro für HJT akzeptieren I accept.
- Wenn Deine Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) fragt, bitte RSIT erlauben, ins Netz zu gehen.
- Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
- Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
- Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert in der Taskleiste zu finden) hier in den Thread.
- Bei nötigen Folgescans das Tool immer wie folgt starten:
- Start => ausführen => "%userprofile%\desktop\rsit.exe" /info (reinkopieren),
damit die alten Logdateien überschrieben werden.
Bitte in deiner nächsten Antwort
Logfile von Malwarebytes
Logfile von Virustotal
Logfile von RSIT
-
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1976
Windows 5.1.2600 Service Pack 3
13/04/2009 17:36:08
mbam-log-2009-04-13 (17-36-08).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 62988
Laufzeit: 10 minute(s), 51 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Windows\lsass.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\WINDOWS\system32\Bifrost (Backdoor.Bifrose) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Documents and Settings\Administrateur\Application Data\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.
-
Auf deinem System befindet sich ein Backdoor Trojaner,genannt Bifrost
Ich rate dir
Rechner dringends vom Netz
Format C:
Alles andere ist hier zu unsicher
das wird W wieder freuen :P
-
info.txt logfile of random's system information tool 1.06 2009-04-13 18:00:45
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Acoustica MP3 (http://www.computerhilfen.de/fachbegriffe-m-MP3.html) Audio Mixer-->C:\PROGRA~1\ACOUST~1\UNWISE.EXE C:\PROGRA~1\ACOUST~1\INSTALL.LOG
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Apple Mobile Device Support-->MsiExec.exe /I{EC4455AB-F155-4CC1-A4C5-88F3777F9886}
Apple Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
AusLogics BoostSpeed-->"C:\Program Files\Auslogics\AusLogics BoostSpeed\unins000.exe"
Autorun Virus (http://www.computerhilfen.de/fachbegriffe-v-Virus.html) Remover 2.3-->"C:\Program Files\AutorunRemover\unins000.exe"
Bonjour-->MsiExec.exe /I{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}
CuteFTP 8 Professional-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{91F34319-08DE-457A-99C0-0BCDFAC145B9}\Setup.exe" -l0x9
Download (http://www.computerhilfen.de/fachbegriffe-d-Download.html) Accelerator Plus -->C:\PROGRA~1\DAP\UNWISE.EXE C:\PROGRA~1\DAP\INSTALL.LOG
FLAC Installer 1.1.2a (remove only)-->C:\Program Files\FLAC\uninstall.exe
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Indeo® software-->C:\WINDOWS\IsUninst.exe -f"C:\Program Files\Intel\Indeo\Uninst.isu" -c"C:\Program Files\Intel\Indeo\SavedSystemFiles\indounin.dll"
Intel(R) Extreme Graphics Driver-->RUNDLL32.EXE C:\WINDOWS\system32\ialmrem.dll,UninstallW2KIGfx PCI\VEN_8086&DEV_2562
Java(TM) 6 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
K-Lite Mega Codec Pack 1.47-->"C:\Program Files\K-Lite Codec Pack\unins000.exe"
LG EV-DO USB (http://www.computerhilfen.de/fachbegriffe-u-USB.html) MODEM-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{94EDC857-E032-47C6-9056-7EE279295EB3}\Setup.exe" -l0x9
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{72AD53CC-CCC0-3757-8480-9EE176866A7C}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - FRA-->MsiExec.exe /I{0BD83598-C2EF-3343-847B-7D2E84599128}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Media Video 9 VCM-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmv9vcm.inf, Uninstall
Mise à jour de sécurité pour Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla ActiveX Control v1.7.12-->C:\Program Files\Mozilla ActiveX Control v1.7.12\uninst.exe
Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nuclear Coffee - VideoGet-->"C:\Program Files\Nuclear Coffee\VideoGet\unins000.exe"
Opera 9.64-->MsiExec.exe /X{E1BBBAC5-2857-4155-82A6-54492CE88620}
QuickTime-->MsiExec.exe /I{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Trojan Guarder Gold Version 7.40-->"C:\Program Files\Trojan Guarder Gold Version\unins000.exe"
Ulead PhotoImpact 12-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{11AFE21E-B193-430D-B57A-DFF7815BB962}\Setup.exe" -l0x9
User Profile Hive Cleanup Service-->MsiExec.exe /I{FF77941A-2BFA-4A18-BE2E-69B9498E4D55}
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Messenger-->MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XP Codec Pack-->C:\Program Files\XP Codec Pack\Uninstall.exe
XviD 1.2.-127 +SMP Alpha uninstall-->"C:\Program Files\XviD\unins000.exe"
=====HijackThis Backups=====
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\WINDOWS\system32\shdocvw.dll [2009-03-25]
O9 - Extra button: Enable Right Click - {549D3A89-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll [2009-04-12]
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll [2009-04-12]
O9 - Extra button: RawRequest - {549D3A97-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll [2009-04-12]
O9 - Extra button: Sleuth - {F3D1ABFB-AB7F-4ea2-A9B2-23D41D1CDCF6} - C:\WINDOWS\system32\shdocvw.dll [2009-04-12]
O9 - Extra button: Analyze Frames - {549D3A99-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll [2009-04-12]
O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\WINDOWS\system32\shdocvw.dll [2009-04-12]
F2 - REG:system.ini: Shell=explorer-namawude.exe [2009-04-12]
======Security center information======
AV: ESET NOD32 antivirus system 2.70
======System event log======
Computer Name: KIWI819
Event Code: 2506
Message: La valeur nommée AutoShareWks dans la clé de Registre du serveur LanmanServer\Parameters était non valide et a été
ignorée. Si vous voulez modifier la valeur, modifiez la à une valeur de type
correct qui est dans des limites acceptables ou supprimez la valeur pour utiliser
celle par défaut. Cette valeur a peut-être été définie par une ancienne application
qui ne connaissait pas les limites correctes.
Record Number: 5
Source Name: Server
Time Written: 20090404151942.000000+000
Event Type: Avertissement
User:
Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Name: KIWI819
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.
Record Number: 4
Source Name: EventLog
Time Written: 20090404151936.000000+000
Event Type: Informations
User:
Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Name: KIWI819
Event Code: 6009
Message: Microsoft (R) Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) (R) 5.01. 2600 Service Pack 3 Uniprocessor Free.
Record Number: 3
Source Name: EventLog
Time Written: 20090404151936.000000+000
Event Type: Informations
User:
Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Name: KIWI819
Event Code: 6006
Message: Le service d'Enregistrement d'événement a été arrêté.
Record Number: 2
Source Name: EventLog
Time Written: 20090404151833.000000+000
Event Type: Informations
User:
Computer (http://www.computerhilfen.de/fachbegriffe-c-Computer.html) Name: KIWI819
Event Code: 20159
Message: La connexion à KWI819 effectuée par l'utilisateur bayn utilisant le périphérique COM3 a été déconnectée.
Record Number: 1
Source Name: RemoteAccess
Time Written: 20090404151827.000000+000
Event Type: Informations
User:
=====Application event log=====
Computer Name: KIWI819
Event Code: 1041
Message: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) ne peut pas effectuer de requête sur l'entrée DllName du Registre pour {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}.
Record Number: 5
Source Name: Userenv
Time Written: 20090404151941.000000+000
Event Type: erreur
User: AUTORITE NT\SYSTEM
Computer Name: KIWI819
Event Code: 1041
Message: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) ne peut pas effectuer de requête sur l'entrée DllName du Registre pour {7B849a69-220F-451E-B3FE-2CB811AF94AE}.
Record Number: 4
Source Name: Userenv
Time Written: 20090404151941.000000+000
Event Type: erreur
User: AUTORITE NT\SYSTEM
Computer Name: KIWI819
Event Code: 1041
Message: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) ne peut pas effectuer de requête sur l'entrée DllName du Registre pour {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}.
Record Number: 3
Source Name: Userenv
Time Written: 20090404151941.000000+000
Event Type: erreur
User: AUTORITE NT\SYSTEM
Computer Name: KIWI819
Event Code: 1041
Message: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) ne peut pas effectuer de requête sur l'entrée DllName du Registre pour {7B849a69-220F-451E-B3FE-2CB811AF94AE}.
Record Number: 2
Source Name: Userenv
Time Written: 20090404151941.000000+000
Event Type: erreur
User: AUTORITE NT\SYSTEM
Computer Name: KIWI819
Event Code: 1010
Message: User profile hive cleanup service stopped successfully.
Record Number: 1
Source Name: UPHClean
Time Written: 20090404151829.000000+000
Event Type: Informations
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Ulead Systems\MPEG;C:\Program Files\Ulead Systems\Ulead DVD (http://www.computerhilfen.de/fachbegriffe-d-DVD.html) MovieFactory 3 Disc Creator Trial;C:\Program Files\K-Lite Codec Pack\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
-----------------EOF-----------------
-
vielen dank im voraus fuer deine bemuehungen ich schaetze das sehr
der logfile hat das maximum erreicht hier der link zu den logfile
http://namawude.com/de/log.txt
-
gibt es da keine andere loesung es zu entfernen
-
nein :(
Backdoors sind mittlerweile so ausgereift das man sie fast nie 100%ig weg bekommt
ich bereinige Backdoors selten und schon gar nicht diesen ;)
-
ok ich danke dir Larusso.nun musse ich meine daten sichern und mit formatieren (http://www.computerhilfen.de/fachbegriffe-f-Formatieren.html) beginnen so schnell wie es geht
-
oder
http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html
von CD starten,
Virenscan machen , und schauen , ob es hilft.
Danach ggf : von CD starten, und Daten sichern.
Das System dann neu installieren .
-
HCK
Falls du es nicht wissen solltest
Bei Backdoor Befall bringen die wunderbaren Rescue CDs auch nichts mehr
Hier ist einfach nur noch Format C: angesagt
Eine Reinigung ist zwar möglich doch hier gibt es keine Sicherheit ob man wirklich alles erwischt
-
HCK
Falls du es nicht wissen solltest
Bei Backdoor Befall bringen die wunderbaren Rescue CDs auch nichts mehr
Spar dir deine Kommentare !!
es ist immer besser, VOR Datensicherung eine Reinigung zu machen , minimiert die Gefahr ...
Start von CD ist2. Sicherung beim kopieren ...
-
danke. ich bin dabei rescuecd.exe unterzuladen. danach gehe ich wie du geschildert hast vor danach wird Formatiert.
danke nochmals HCK
-
::) DAUMENDRÜCK !! :D
Besser wäre es , das LADEN & BRENNEN auf sauberem PC zu machen (Freund/Nachbar) !!
-
Neu aufsetzen Anleitung:
http://community.magnus.de/forum/showthread.php?t=6074
Den Tip mit der RescueCD vorher unbedingt beherzigen Scannen, reinigen, sichern. Keine ausführbaren Dateien, keine Archive. Und das System stets aktuell halten, auch den IE, auch wenn du ihn nicht nutzt!