hallo
ich bekomme alle 5 minuten 3 meldungen von avast und eine von antivir wo mir mitgeteilt wird dass ich ein trojanisches pferd aufm pc habe. glücklicherweise kann es ihn abwehren jedoch möchte ich wissen was da überhaupt los ist und wie ich das problem lösen kann...
das sind die namen der malware:
Win32:Agent-IU [Trj]
Win32:Small-EK [Trj]
Win32:Adan-078 [Adw]
die meldung von antivir gibt keine auskunft über den namen der malware...
da ich keine ahnung von viren und mich allgemein mit dem pc nicht so gut auskenne hoffe ich dass mir hier jemand weiterhelfen kann
vielen dank!
Poste einfach ein Hijackthis log und einen Report von Avast und antivir, wo sie etwas vermuten.
http://www.cidres-security.de/hijackthis.html
lösch einmal alle temporären intenetfiles incl der offlineinhalte. wenn du den ccleaner hast am besten damit analysieren/starten...fertig.
dann im abgesicherten modus nocheinmal mit deinen scannern arbeiten.
oder du postest erstmal WO gemeldet wird, und welches betriebsystem du hast!
rock
edit: oder gleich den log von hijackthis...
ums andere wirst du aber nicht herumkommen...
Hast du schon nach den AV scanner ausgaben gegoogelt und hast du auch nachgesehen welche Datei genau da angemeckert wird ? wenn wir dir jetzt sagen "Ja lösch mal..." dann könnte ein Fehlalarm nach hinten losgehen.
hi,
erstmal danke für die vielen antworten!! Also hier ist der Hijackthis log: (hoffe ich habe das richtig gemacht...)
vielleicht sollte ich auch erwähnen das das problem nur auftaucht wenn ich online bin.
Logfile of HijackThis v1.99.1
Scan saved at 08:36:32, on 02.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.10re/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
die funde der av-prüfung: hoffeauch hier dass ich das richtige gepostet habe...
C:\WINNT\system32\favset.exe
[FUND] Ist das Trojanische Pferd TR/Click.Small.KG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c947af.qua' verschoben!
C:\WINNT\system32\howiper.exe
[FUND] Ist das Trojanische Pferd TR/Small.HL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44ca47c6.qua' verschoben!
wenn du keine Symantec Software drauf hast dann fixe das mal mit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen.
schicke die beiden letzteren dateien in deinem post mal bei http://virusscan.jotti.org/de/ und lasse sie darüber scannen und identifizieren.
@bond
tut mir leid aber ich habe kein wort verstanden
was heist "fixe das mal mit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer "
was soll ich da machen?? wie soll ich das fixen??
und was heist das?
"O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen. "
wie soll ich das im abesicherten modus fixen? wie macht man das?
und wieso soll ich die letzten beiden dateien zu dem link schicken? was bringt mir das?
ich glaube du hast gemerkt dass ich total ahnungslos bin, bitte habe geduld mit mir
danke
Eintrag markieren und "fix checked" drücken.
Hast Du noch Software von Symantec auf dem Rechner? Dann könnte dieser Eintrag durchaus richtig sein.
http://www.bsi.de/av/texte/wiederher.htm
Vorher diese Dateien zu der angegebenen Adresse schicken und das Ergebnis mal hier reinkopieren.
Nach dem fixen nachsehen, ob die Dateien unter dem angegebenen Pfad noch zu finden sind (Windows-Explorer), wenn ja, dann löschen.
Gruß Jens
ich habe noch software von symantec aufm rechner. muss ich jetzt etwas anders machen?
ok was soll ich unter fixen verstehen? wenn ich im abgesicherten modus bin was soll ich dann genau machen?
ich habe versucht die dateien zu der adresse zu schicken habe sie aber nicht auf meinem rechner gefunden und konnte sie deshalb nicht schicken... was soll das bedeuten??
@noel_gallagher
Au deinem PC befindet sich wareout Rootkit Trojaner,der aktiv ist
Gruss
Mopao
den habe ich ja schon gepostet: er ist weiter oben...
Sach mal Noel, hast du 2 Virenscanner am laufen?
ja, ist das nicht gut? avast und antivir
Nein, da sich die Hintergrundwächter gegenseitig "stören" können. Du kannst schon 2 AV Programme auf deinem Rechner haben, nur sollte nicht beide mit aktivem Wächter sein.
D.h. für dich, schalte z.b. bei Avast den Hintergrundwächter aus, geht ja ganz einfach.
@ Phoinix
Entschuldigung.
Catweazle
aha ok. aber soll ich nun einen deinstallieren oder genügt es den hintergrundwächter auszuschalten?
@noel_gallagher
Poste mal dein aktuelle HijackThis log,weiss nicht,was du bis jetzt gemacht hast
Gruss
Mopao
hm wie schalt ich den jetzt aus bei avast?? und den http scanner- wie schalt ich den aus?
ok hier ist mittlerweile der hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 16:51:51, on 02.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/sp3.10re/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
ahh ok jetzt sehe ich die hijackthis results und da kann man die dateien markieren die man löschen (fixen) will. ok das hab ich jetzt kapiert...also soll ich den computer nochmal im abesicherten modus starten und dann nochmal die hijackthis prüfung machen und dann die zwei dateien löschen die bond7 auf der vorhergehenden seite als die "bösen buben" gesichtet hat??
Hm, mal nach Gedächtniss...
Rechtsklick auf das Avast! Symbol in der Taskleiste, dann auf On Access Steuerung, hier kannst die einzelnen Provider anhalten... Klicke auf das Http Symbol, dann auf Verwerfen und bestätigen, danach das selbe Spiel mit dem Hintergrundwächter, das wars.
hm ehrlich gesat würde ich lieber antivir deinstallieren da mir die meldung vom virus immer von avast kommt. also würdich lieber von antivir den provider anhalten...oder ist das egal? ich mein wenn ich von avast das machen dann riskiere ich nicht dass der virus durchkommt???
Das kannst du natürlich auch bei Antivir machen.
ok. kann ich da einfach den antivir guard deaktivieren?
Jep.
@noel_gallagher
#In der Systemsteuerung/software folgende falls vorhanden deinstallieren
altnet
#Lade dir http://siri.urz.free.fr/Fix/SmitfraudFix.zip auf dem Desktop speichern und auf dem desktop entpacken,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 2 und dann Enter, den Anweisungen auf dem Bildschirm folgen.
#Lade dir http://www.ewido.net/de/download unbeding Update,noch nicht scannen.
Lade dir http://downloads.subratam.org/Fixwareout.exe auf dem Desktop speichern & doppelklick auf sie,klicke auf Next, dann Install,Run fixit muss markiert werden und klicke dann auf Finish.
#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rcabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
c:\program files\altnet
C:\WINNT\vqnwjiz.exe
C:\WINNT\system32\hgqhp.exe
1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor
2. copiere diser Code rein:
wow! das klingt kompliziert! wieso muss ich denn jetzt das alles machen? ist das der einzige weg um das problem total zu lösen? ich mein die lösungen vorher haben doch um einiges leichter geklungen? tuns die auch? (pc im abesicherten modus starten und dann nochmal scan und löschen...)
vielen dank für deine auflösung...
ich mein vielleicht erscheint es jetzt auch komplizierter als es im endeffekt ist...
nein es ist nicht kompliziert nur eben scheint es als wäre es ein langer weg! Es hatte auf der vorhergehenden seite nur den anschein dass es auch einfacher gehen würde den virus zu entfernen..
@ noel_gallagher
Wie hast du denn gEnau dein Problem gelöhst ?
Catweazle
ich habs noch nicht gelöst. ich werde die schritte machen die von mopao gepostet wurden und dann schaun was passiert...
so, nachdem der bildschirm gestern plötzlich seinen geist aufgegeben hat und ich einen neuen gekauft habe (glaube nicht das das wegen dem virus passiert ist) habe ich nun alles gemacht.
doch bevor ich das ergebnis poste möchte ich wissen welche "wichtigen passwörter" zu löschen wären? ich mein passwörter von was z.B.?
danke!
Alle Paßworte, die Du irgendwo im Web verwendest. Ganz wichtig Online-Banking & Co, aber auch sonstige Zugangsdaten (Web, Mail, Shopping...).
Sollte man sowieso gelegentlich machen. Ich hoffe, Du verwendest unterschiedliche PW?
Jens
Und bevor du dir einfach zu merkende Passwörter nimmst, schreib die lieber auf und nimm richtige. Also nicht "qwert" oder "123" sondern "Hn7UtfD99H6".
Domino
ok alles klar. aber kann man die passwörter anhand der von mir hier geposteten "sachen" erkennen-sehen?? ich mein wenn ich sie nicht vorher änder? und wieso soll ich eigentlich kompliziertere passwörter nehmen?? es wird wohl niemand lang umherprobieren sie zu "knakken" oder? ok 123 wär wirklich zu blöd aber einen namen den ich mir merken kann wird wohl nicht zu riskiös sein oder?
Hallo,
lies dir mal diese Seite durch, dann wirst du hoffentlich anders darüber denken.
http://www.mathematik.uni-ulm.de/admin/passwd.html
mfg
ja schon klar dass es besser wäre kompliziertere passwörter als joghurt zu haben. Aber meine frage war eigentlich wieso ich alle meine passwörter ändern sollte? ich mein wieso gerade jetzt bevor ich den hijacklog usw poste...
@noel_gallagher
Hast du diese Anweisung
http://www.rokop-security.de/index.php?showtopic=11392&view=findpost&p=146255 schon abgearbeitet? Wenn nein, dann solltest du schnellstens damit beginnen.
Und sieh mal, erst am Ende steht, dass die Passwörter geändert werden sollten. Dein Rechner ist möglicherweise in fremder Hand. Derjenige kann allerlei Unsinn ggfls. sogar strafbewährte Dinge damit anstellen.
mfg
ja ich hab schon alles gemacht. ich hatte nur angst das ergebnis zu posten weil ich dachte dass ich vorher die passwörter ändern muss (aus welchem grund auch immer)...aber wenn dass nichts miteinander zu tun hat dann werde ich sofort alles posten was mopao als ergebnis bezeichnet hat...
Schreib.
kann mir jemand sagen wo ich den ewido report des letzten scans finden kann (habe ihn heute nachmittag gemacht...)
Arbeitsplatz > dann C ( bzw. eben auf der Platte, auf der Du ewido installiert hast ) > Programme > ewido > reports und da sollte er dann drinnen stehen.
also hier der hijack log ewido scan und der inhalt der datei...:
HIJACKTHISLOG:
Logfile of HijackThis v1.99.1
Scan saved at 18:57:16, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
EWIDO SCAN REPORT:
---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------
+ Erstellt am: 11:45:37, 04.05.2006
+ Report-Checksumme: 175B0A9B
+ Scanergebnis:
HKLM\SOFTWARE\Classes\MediaAccX.Installer -> Adware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\MediaAccX.Installer\CLSID -> Adware.WinAd : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\YSBactivex.Installer.1 -> Adware.YourSiteBar : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO\HomePage -> Adware.KeenValue : Gesäubert mit Backup
HKLM\SOFTWARE\PerfectNav\BHO\RedirectURLS -> Adware.KeenValue : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@112.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ad.71i[1].txt -> TrackingCookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adopt.specificclick[2].txt -> TrackingCookie.Specificclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ads.pointroll[1].txt -> TrackingCookie.Pointroll : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ads1.revenue[1].txt -> TrackingCookie.Revenue : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@advertising[2].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@axa.addcontrol[2].txt -> TrackingCookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@axelspringer.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@bfast[2].txt -> TrackingCookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@c1.zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@casalemedia[2].txt -> TrackingCookie.Casalemedia : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cbs.112.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cnn.122.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@com[2].txt -> TrackingCookie.Com : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@counter.hitslink[2].txt -> TrackingCookie.Hitslink : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cs.sexcounter[2].txt -> TrackingCookie.Sexcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz4.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz5.clickzs[1].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz6.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz7.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@cz8.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@doubleclick[2].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4coczcdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4emd5ehp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4ggazgkp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4kncpefo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfk4qpcpgbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicjcpwlo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiclcjwcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicmcpaco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkicndpoeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiehdzwao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkigoc5cho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkikgczgbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkikoc5sdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiokdjgfq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiqoc5ekp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkiwhcpgfo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoajczgao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoandzcko.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoegajsap.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoepc5igp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkokidpadq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoopazweq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkoqlazslq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkosmc5wcq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkowocjgap.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyajajico.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyancpmao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyapczifo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkycpazihp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkygjdzggo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyuoazsgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfkyupdpaho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4aidpwkq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4cnazsbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4kgdzghq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4okdjkbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfl4qlc5sap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflicodjifq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflikjcpmho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflikodjilq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflooodjwfp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfloskc5cfq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wflyohdzafo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiamdjidp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmianajako.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmicpdpmcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiemcjglq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmikhajalo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmikhdjikp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiqlajgcp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiulcjwbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiwgazeeq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmiwmazsko.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmyghczaeq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wfmyulczaaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgk4qmd5elp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgk4wldjokp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiehdpkkp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiooajwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkisjdpkbp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkislajmbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkiuldpaep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkoekczafq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkyskdjidp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgkyuodpekp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wgl4cld5geo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4cmcjwgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4ggczeaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4gmdpibp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4kpdpakp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4okdzikp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjk4uldjkco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkocgajelp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoehczgaq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkognczwap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoohdzego.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoopd5adp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoulcjidq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkoumajscq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkowjdjado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkycgdpkep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkychc5kkp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkykgdzmdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkyoidzsep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkyqkazmlp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkysjazscq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjkysjd5mbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4cidpglp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4cnajsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4gmc5efq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4qldjmbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4qodjccp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjl4whdpsdq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliciczshq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliejdpwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjligmazwao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliqhcpwgo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjliqnazmco.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlisodzmbp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloekdzggp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlokhajmdp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlokpdzsao.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloqocpclq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloskd5ekp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjloslazalo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlosnajeeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyclc5oho.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlygkdzkdp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyopdzafp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyuhcpkbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjlyuidjggp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiaic5aep.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmicldjoeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmicodjiap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmienazglq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmioiazkbp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiqjdpado.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmishcpkeq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiujd5ako.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiuld5mdp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmiwldpolq.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmyaiazieo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmychdjalp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmyckcjcbo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjmycpdzmap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyakd5sho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycgc5wdp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycidpsdo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnycndzoho.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyelc5kgo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnygmcjodp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyogc5oeo.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyoidzeap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyoldzeeo.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyqmdjgfp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnyskc5cap.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnywjc5cgp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@e-2dj6wjnywlczcfq.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-dig.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-idg.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ehg-viacom.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@emimusic.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@fastclick[2].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@gettyimages.122.2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@komtrack[1].txt -> TrackingCookie.Komtrack : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@max.i12[1].txt -> TrackingCookie.I12 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@media.fastclick[1].txt -> TrackingCookie.Fastclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@metacafe.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@oewabox[2].txt -> TrackingCookie.Oewabox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@paycounter[1].txt -> TrackingCookie.Paycounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@paypopup[2].txt -> TrackingCookie.Paypopup : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@polo.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@ppms.popularix[2].txt -> TrackingCookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@primediabusiness.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@questionmarket[2].txt -> TrackingCookie.Questionmarket : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@reduxads.valuead[2].txt -> TrackingCookie.Valuead : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sales.liveperson[1].txt -> TrackingCookie.Liveperson : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sel.as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@servedby.advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@sonymediasoftware.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@spylog[1].txt -> TrackingCookie.Spylog : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@stat.onestat[2].txt -> TrackingCookie.Onestat : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tacoda[1].txt -> TrackingCookie.Tacoda : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@targetnet[1].txt -> TrackingCookie.Targetnet : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tfag[1].txt -> TrackingCookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@thestar.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@trafficcenter[1].txt -> TrackingCookie.Trafficcenter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@trafic[1].txt -> TrackingCookie.Trafic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@vip.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@vip2.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@www.etracker[1].txt -> TrackingCookie.Etracker : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@www.myaffiliateprogram[1].txt -> TrackingCookie.Myaffiliateprogram : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@yadro[1].txt -> TrackingCookie.Yadro : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Cookies\hillbold@zedo[1].txt -> TrackingCookie.Zedo : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Eigene Dateien\My Download Files\fußball -> Dialer.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Hillbold\Eigene Dateien\My Download Files\fußball2 -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\PerfectNav -> Adware.PerfectNav : Gesäubert mit Backup
C:\Programme\PerfectNav\BHO -> Adware.PerfectNav : Gesäubert mit Backup
C:\Programme\PerfectNav\BHO\PerfectNav150.dll -> Adware.PerfectNav : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\1013642.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\1168296.exe -> Dialer.Delf.d : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\CONFLICT.1\1013642.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\CONFLICT.2\SET48.tmp -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\SET83.tmp -> Trojan.Dialer.gu : Gesäubert mit Backup
C:\WINNT\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe -> Not-A-Virus.Downloader.Win32.WinFixer.d : Gesäubert mit Backup
::Report Ende
INHALT DER DATEI.....
Fixwareout ver 1.003
Last edited 04/26/2006
Post this report in the forums please
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\xedocne
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gib_ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\23plhps
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\mgcppp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\32refaselif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\32refaselif
...
Random Runs removed from HKLM
...
PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is lagitamate
»»»»» Search by size and names...
»»»»» Misc files
»»»»» Checking for older varients covered by the Rem3 tool
»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
An dem Ewido-Log sieht man gut, was ich http://www.rokop-security.de/index.php?showtopic=11360&view=findpost&p=145277 gemeint habe.
@noel_gallagher
Es ist schon sehr wichtig, dass du dich exakt an die Anleitung hältst. Sonst könnte da was in die viel zitierte Hose gehen.
Nur mal ein Auszug aus der Anweisung von Mopao
@noel_gallagher
Hast du alles gemacht wie geschrieben?Hast du noch probleme?
Folgende Einträge im abgesicherter Modus Fixen
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
PC neustarten & nuer HijackThis log posten
Gruss
Mopao
@mopao:
ja ich habe alles genau gemacht wie beschrieben. Jetzt habe ich keine probleme mehr- der virus scheint weg zu sein.
aber folgendes lief nicht nach plan:
1. beim ersten hijacks scan konnte diese einträge nicht finden..und somit nicht fixen
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
2. danach beim neustart konnte ich alle 3 dateien (c:\program files\altnet
C:\WINNT\vqnwjiz.exe C:\WINNT\system32\hgqhp.exedie) du mir aufgelistet hast nicht finden und somit auch nicht löschen
3. "Unter Start/Ausführen folgende Befehl eingeben: cmd ok dann öffnet ein Kommandofenster.Danach folgende Befehl eingeben und Eingabetaste drücken:
sc delete ZPMODEMSYSNTDRVNT
#Loesche:
C:\WINNT\SYSTEM32\DRIVERS\zpmodemnt.sys"
diese Datei konnte auch nicht gefunden werden und somit auch nicht gelöscht werden.
Also diese 3 sachen sind mir bewusst. wenn ich ansonsten etwas falsch gemacht habe oder etwas nicht funktioniert hat dann ist es mir nicht aufgefallen.
@universum
ähm ich will dir ja nicht zu nahe treten aber ich habe alles was du fettgedruckt mit "hast du das gemacht?" gekennzeichnet hast, effektiv auch gemacht! keine ahnung ob ichs richtig gemacht habe aber ich denke schon denn es hat eigentlich alles gut funktioniert, so wies mopao aufgeschrieben hat....
@noel_gallagher
Alles ist OK,ja du hast alles gut gemacht,sehe schon,Poste noch mal dein aktuelle HijackThis log
Gruss
Mopao
ok also hier ist der aktuelle hijackslog:
diesen eintrag konnte ich wieder nicht finden...
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
Logfile of HijackThis v1.99.1
Scan saved at 20:36:26, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\unzipped\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
alles klar
In deinem HJT-Log vom
hm, nein also beim letzten hjt log war 100% kein 017 dabei...und ich hab ja schon vorher geschrieben dass ich auch beim hjt log den ich heut nachmittag gemacht habe diesen 017 eintrag nicht gefunden habe obwohl ich danach gesucht habe da mopao ihn ja schon in seiner anweisung zum löschen freigegeben hat...
was hab ich den wirklich übersehn.. äußerst komisch! naj a ok also fix ich ihn jetzt
Logfile of HijackThis v1.99.1
Scan saved at 21:12:16, on 04.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\HPZipm12.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
hm ich seh gerade dass der 017 immer noch da ist...
also..whats next??
@noel_gallagher
Hast den O17 Eintrag übersehen oder wie?
Gruss
Mopao
welchen Internet Service Provider hast du denn ? vll. ist das ja auch echt was dort steht mit der ukrainischen Nameserver-IP (DNS) .
Bei dieser Art von DNSchanger ist oft ein Rootkit mit dabei. Daher musst du Blacklight nutzen:
http://www.f-secure.com/blacklight/try.shtml
Herunterladen, in einen extra Ordner packen, starten, "AGB" akzeptierenm Scan druecken, solange next druecken bis nur noch close angeboten wird. Nun befindet sich im gleichen Ordner eine LOG Datei. Den Inhalt bitte hier posten.
ok nur eine frage: ichmein wieso mach ich das überhaupt? um diesen 017 eintrag wegzubekommen? aber der virus ist ja schon weg...
@jens
keine ahnung! wie weis ich das?
Nutze Blacklight und wir sehen, ob die Malware wirklich weg ist.............
Druecke einfach mit der rechten Maustaste auf "Download Blacklight Beta " und waehle dort "Ziel speichern unter" dann kannst du den Ordner waehlen und von dort starten.
ok hier ist der inhalt:
05/08/06 12:54:44 [Info]: BlackLight Engine 1.0.36 initialized
05/08/06 12:54:44 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/08/06 12:54:46 [Note]: 7019 4
05/08/06 12:54:46 [Note]: 7005 0
05/08/06 12:54:56 [Note]: 7006 0
05/08/06 12:54:56 [Note]: 7011 864
05/08/06 12:54:57 [Note]: 7026 0
05/08/06 12:54:57 [Note]: 7026 0
05/08/06 12:55:43 [Note]: FSRAW library version 1.7.1015
05/08/06 13:01:45 [Note]: 2000 1006
05/08/06 13:02:44 [Note]: 7007 0
Das Ergebniss passt mir garnicht, alles sauber!
Fix diesen "O17" Eintrag bitte im abgesicherten Modus, sollte das nicht ausreichen, geben bitte unter Start/Ausfuehren
"ipconfig /renew" ohne die " ein und druecke enter.
wie weis ich obs ausreicht oder nicht? wenn im hjl er noch aufscheint danach??
Ein "O17" Eintrag darf auftauchen, aber nicht diese IP Adresse!
Logfile of HijackThis v1.99.1
Scan saved at 09:22:28, on 09.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\unzipped\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
ich musste gar nichts fixen, der 017 eintrag war schon weg...kann das sein? oder habe ich was falsch gemacht? ich bin einfach in abg. modus gegangen und habe den hjl gemacht und dann gespeichert und hier eingefügt...
Das passt schon so wie es ist...... Du bist als geheilt entlassen!
super!
ok aber noch ne frage: ich hab doch eine menge sachen installiert usw. (siehe mopaos beitrag). was kann ich den von dem jetzt wieder löschen und ich hab ja immer noch 3 antivirus programme oben (awast, ewido und antivir) welchen soll ich benutzen. und soll ich irgendwelche einstellungen wieder ändern??
ewido kannst du weiterhin als 2. Scanner nutzen, wenn du willst, ansonsten liegt es an dir, ob du Antivir oder Avast nutzen moechtest. Ich persoenlich findet Antivir uebersichtlicher, resourcenschonender und vor allem aktualisieren sie ihre Datenbank schneller und oeffter als Avast. Nachteil, es erkennt keine Adware. Mit Avast machst du aber auch nichts falsch.
ok cool. aber kann ich von dem ganzen zeug dass ich sonst noch installiert habe was löschen? ich mein alles was mopao gesagt hat...
achja und wie deinstalliert man eigentlich so programme? gibs da ne bestimmte vorgehensweise? unster systemsteuerung oder so?
Ja, immer Systemsteuerung/Software dazu nutzen!
Den Smitfraudfix Ordner und die fixwareout Datei kannst du einfach loeschen
ok super!
also danke an alle die hier so freundlich waren und mich von dem ungarischen ungeziefer befreit haben
und weiterhin viel spaß hier im forum an euch! tschüs
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)