Forum
Tipps
News
Frage stellen
search
Menu-Icon
search

twaintec.cab

hallo ...

... hab den trojaner traintec.cab auf meinem computer. hab ihn mit hijack.this gescannt, wobei folgende logfile entstand ...

... adaware 6 hab ich auch schon laufen lassen

... was muss da gefixt werden???

Logfile of HijackThis v1.97.7
Scan saved at 19:04:31, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\TTTimer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Rieke\Eigene Dateien\kathrin\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

vielen dank schonmal, sören

Moderator informieren  


Antworten zu twaintec.cab:

Beende mal vorher alle Programme die laufen auch unter der Uhr und mach nochmal ein LOG.

Kannst vorher auch noch Spybot + CWSschredder laufen lassen(vorher updaten nicht vergessen)

Gruß

Moderator informieren  

danke ...


... probiers gleich ma


... meinste alle programme die rechts unten am monitor in der taskleiste sind??

Moderator informieren  

Jo genau die Unter/neben der Uhr die sich beenden lassen..

Gruß

Moderator informieren  

So ... hab jetzt alles laufen lassen


hijack sagt das ...

Logfile of HijackThis v1.97.7
Scan saved at 20:09:43, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\TTTimer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Rieke\Eigene Dateien\kathrin\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINDOWS\system32\TTTimer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab


und der shredder das ...

CWShredder v1.57.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Rieke\Anwendungsdaten
Username: Rieke

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com

  • dword:4

CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com
  • dword:4

CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com
  • dword:4

CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com
  • dword:4

Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (983 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (288 bytes, A)

- END OF REPORT -

ging aber nich abzudaten ...


und was jetzt???


vielen dank ...
Moderator informieren  

Die folgenden Online prüfen ( Kaspersky-Online Virentest ) oder unter www.KAV.ch die Trialversion von Kaspersky installieren->updaten(inkl. erweiterte Datenbanken) und dann scannen:

C:\Programme\TV Media\Tvm.exe
c:\installer\id53.exe


Fixen (jenachdem was beim prüfen rausgekommen ist):

Alle R3 auf jedenfall

O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe (wahrscheinlich Hijacker)

O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe

O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab (napster?)

Gruß

Moderator informieren  

Zu überprüfende Datei:   Tvm.exe
 
Tvm.exe Ok


Statistiken:
Bekannte Viren: 89760 Updated: 26.05.2004
Größe der Datei (Kb): 72 Scan-Zeit: 00:00:01
Geschwindigkeit (Kb/sek): 73 Viren-Korpus: 0
Archive: 0 Komprimiert: 0
Verzeichnisse: 0 Datei: 1
Verdächtigt: 0 Warnungen: 0
 

 
 Zu überprüfende Datei:   id53.exe
 
id53.exe UPX
id53.exe Infiziert: Trojan.Win32.SecondThought.l


Statistiken:
Bekannte Viren: 89760 Updated: 26.05.2004
Größe der Datei (Kb): 94 Scan-Zeit: 00:00:01
Geschwindigkeit (Kb/sek): 95 Viren-Korpus: 1
Archive: 0 Komprimiert: 1
Verzeichnisse: 0 Datei: 1
Verdächtigt: 0 Warnungen: 0
 
kam raus ... also wahrscheinlich die zweite fixen und die erste nich, oder???


und die anderen sowieso, oder???

sören
 
   
 

Moderator informieren  

Jo genau, wobei die erste wahrscheinlich auch ein Hijacker ist.

Beim Online-scan von Kaspersky werden kein Hijacker mitgescannt macht er nur bei der installierten mit erweiterten datenbanken(Einstellungen->updates)

Am besten du besorgst dir die Trialversion, Link hab ich oben geschrieben.

Und die andern sowieso die R3 und den letzten

Gruß

Moderator informieren  

hab das jetzt alles gemacht, aber der virenscanner zeigt immernoch twaintec.cab(krepper.c) an.

und jetzt? :'(

Moderator informieren  

Jo dann schau doch mal in den Bericht des Scanners welche datei(en) das ist(sind).

Sicher die TVm

Gruß

Moderator informieren  

Hallo ihr könnt twaintec ganz leicht löschen.
Lasst Anti Vir Xp laufen dann den Report lesen.
Dann kopiert ihr die Zielorte die fast ganz unten stehen C\:.........und führt die kopierte Adresse bei
Ausführen... ein.
Dann müsste er euch ca. 4 Dateien anzeigen wo twaintec vorsteht. Die könnt ihr dann löschen.
Dasselbe geht auch bei alchmet.cab so nur das ihr nach Ausführen.. evtl. ein bisschen suchen müsst.
Viel Glück!!!

Moderator informieren  

Hallo, hab die Antowrt nicht verstanden, wo im Report bei Antivir find ich den Zielordner, hab da ne ellenlange liste. Hab mir twaintec.cab und dc9.cab eingefangen. alchem.cab ist wohl schon gelöscht (?)

Schnelle Hilfe wäre echt super. bin verzweifelt.

wenns hilft: antivir report (nur das ende) und danach hijack-report

C:\Dokumente und Einstellungen\Christian Loose\Lokale Einstellungen\Temp
  3F.tmp.exe
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ~DF9752.tmp
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Christian Loose\Lokale Einstellungen\Temp\THI3308.tmp
  preInsTT.exe
      Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
  twaintec.cab
  ArchiveType: CAB (Microsoft)
    --> preInsTT.exe
        Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Christian Loose\Lokale Einstellungen\Temp\THI5E01.tmp
  preInsTT.exe
      Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
  twaintec.cab
  ArchiveType: CAB (Microsoft)
    --> preInsTT.exe
        Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
    --> polall1m.exe
        [FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.AE
C:\RECYCLER\S-1-5-21-1177238915-842925246-839522115-1004
  Dc9.cab
  ArchiveType: CAB (Microsoft)
    --> alchem.exe
        [FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
  default
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SAM
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  SECURITY
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  software
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  system
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: 10.08.2004  20:44
Benötigte Zeit:     07:36 min


1940 Verzeichnisse wurden durchsucht
14510 Dateien wurden geprüft
   8 Warnungen wurden ausgegeben
   0 Dateien wurden gelöscht
   0 Viren bzw. unerwünschte Programme wurden repariert
   2 Viren bzw. unerwünschte Programme wurden gefunden


wems hilf: Hijack-log:

Logfile of HijackThis v1.98.0
Scan saved at 20:54:12, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\System32\serm32.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\3F.tmp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\winmsixp32.exe
C:\Programme\TerraTec\TerraCam USB\Launchpad.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\notepad.exe
C:\Dokumente und Einstellungen\Christian Loose\Desktop\HiJackThis_Last.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\imapi.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\antivirus\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {628A3F04-E146-12CD-875F-155578D52C1F} - C:\WINDOWS\System32\opxip.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\42.tmp.exe
O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\3F.tmp.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows System Malfunction Generator] wsysmgrd.exe
O4 - HKLM\..\Run: [Windows IP Manager] wipopmgr.exe
O4 - HKLM\..\Run: [Microsoft Update] winmsixp32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Windows System Malfunction Generator] wsysmgrd.exe
O4 - HKLM\..\RunServices: [Windows IP Manager] wipopmgr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] winmsixp32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Windows System Malfunction Generator] wsysmgrd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Windows IP Manager] wipopmgr.exe
O4 - HKCU\..\Run: [Microsoft Update] winmsixp32.exe
O4 - Global Startup: Launchpad.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB9473E7-C329-4E2A-8416-424EC4D42611}: NameServer = 217.237.151.225 194.25.2.129

Moderator informieren  

Hier escan und Sysclean im abges.-Modus laufen lassen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Gruß

Moderator informieren  

Danke für die superschnelle Antwort.

teste das jetzt mal und melde mich, ob erfolgreich.

Moderator informieren  

 ;D;D;D endlich virenfrei,

hab jetzt die Antowort von steff gerafft. Wusste nicht genau wie der Hinweis zu verstehen ist. Deshalb für alle, die genauso unbedarft sind wie ich: Antivir laufen lassen, ganz unten im Report steht z.B.

C:\Dokumente und Einstellungen\Ihr Name\Lokale Einstellungen\Temp\THI3308.tmp
  preInsTT.exe
      Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
  twaintec.cab

Jetzt alles von C:\... bis .tmp kopieren
und dann unter start -> ausführen einfügen un ddie vier dateien löschen lassen. Klappt 100%-ig

Auch für den anderen Tip bedanke ich mich, hat meine restlichen Viren gelöscht.

Der link zu clrav.com ist veraltet, sucht am besten über google mit " clrav.com" und "download"

Bin wieder glücklich mit meinem PC   :D:D

Moderator informieren  

sry leute, is ne ziemlich lange liste, hab keinen plan was jetzt los is, ob jezt der computer noch von was befallen is oder net... auf jedenfall is ne datei vom garnet harmlosen bloodhound.W32.EP virus infiziert, und bei dem steht ja ''kein zugriff'' so was, is der jetzt trotzdem weg oder. thx 4 ya help.

C:\
  pagefile.sys
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson
  user.dmp
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Nguyen
  NTUSER.DAT
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  ntuser.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Nguyen\Eigene Dateien\Meine empfangenen Dateien
  Langeweile(1).exe
      [FUND!] Enthält Signatur des Scherzprogrammes Joke/Brod.A
      Nach Rückfrage nicht gelöscht!
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
  UsrClass.dat
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
  UsrClass.dat.LOG
      Zugriff verweigert! Fehler beim Öffnen der Datei.
      Fehlercode: 0x000D
      WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temp
  alchem.cab
  ArchiveType: CAB (Microsoft)
    --> alchem.exe
        [FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
  alchem.exe
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
      WURDE GELÖSCHT!
  preInsTT.exe
      [FUND!] Enthält Signatur des PMS/Dldr.Krepper.1-Programmes
      WURDE GELÖSCHT!
  preInstTT.exe
      [FUND!] Enthält Signatur des PMS/Dldr.Krepper.1-Programmes
      WURDE GELÖSCHT!
  Susp.cab
  ArchiveType: CAB (Microsoft)
    --> susp.exe
        [FUND!] Ist das Trojanische Pferd TR/Stubby
  susp.exe
      [FUND!] Ist das Trojanische Pferd TR/Stubby
      WURDE GELÖSCHT!
  twaintec.cab
  ArchiveType: CAB (Microsoft)
    --> preInsTT.exe
        [FUND!] Enthält Signatur des PMS/Dldr.Krepper.1-Programmes
  twtini.cab
      [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBarBig.4
      WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0X2FS1EJ
  gvx143chsm_wall[1].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  gvx143chsm_wall[2].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  gvx143chsm_wall[3].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  gvx143chsm_wall[4].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  gvx143chsm_wall[5].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  gvx143chsm_wall[6].exe
      [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300263 (Dialer)
      WURDE GELÖSCHT!
  wmv9dmo[1].cab
  ArchiveType: CAB (Microsoft)
    --> wmv9dmo.inf
        HINWEIS! Der Archivheader ist defekt
    --> WMV9DMOD.DLL
        HINWEIS! Der Archivheader ist defekt
  wmv9dmo[2].cab
  ArchiveType: CAB (Microsoft)
    --> wmv9dmo.inf
        HINWEIS! Der Archivheader ist defekt
    --> WMV9DMOD.DLL
        HINWEIS! Der Archivheader ist defekt
  wmv9dmo[3].cab
  ArchiveType: CAB (Microsoft)
    --> wmv9dmo.inf
        HINWEIS! Der Archivheader ist defekt
    --> WMV9DMOD.DLL
        HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3VD3RLOS
  iuctl[1].CAB
  ArchiveType: CAB (Microsoft)
    --> iuengine.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.cat
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.inf
        HINWEIS! Der Archivheader ist defekt
  spiel_horst[1].zip
  ArchiveType: ZIP
      HINWEIS! Das Archiv ist unbekannt oder defekt
  spiel_horst[2].zip
  ArchiveType: ZIP
      HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3ZRJ7L95
  iuctl[1].CAB
  ArchiveType: CAB (Microsoft)
    --> iuengine.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.cat
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.inf
        HINWEIS! Der Archivheader ist defekt
  wmv9dmo[1].cab
  ArchiveType: CAB (Microsoft)
    --> wmv9dmo.inf
        HINWEIS! Der Archivheader ist defekt
    --> WMV9DMOD.DLL
        HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9WKZDPW5
  rebecca2[1].zip
  ArchiveType: ZIP
      HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ALKNA9WX
  iegator_4090_hd3ptdmgainads[1].cab
  ArchiveType: CAB (Microsoft)
    --> IEGator.dll
        HINWEIS! Der Archivheader ist defekt
    --> IEGator.inf
        HINWEIS! Der Archivheader ist defekt
  iuctl[1].CAB
  ArchiveType: CAB (Microsoft)
    --> iuengine.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.cat
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.dll
        HINWEIS! Der Archivheader ist defekt
    --> iuctl.inf
        HINWEIS! Der Archivheader ist defekt
  NSupd9x[1].cab
  ArchiveType: CAB (Microsoft)
    --> NSupd9x.inf
        HINWEIS! Der Archivheader ist defekt
    --> nsupdate.dll
        HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\Nguyen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F3XFN54S
  POP[1].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[2].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[3].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[4].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[5].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[6].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[7].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  POP[8].CHM
      [FUND!] Ist das Trojanische Pferd TR/Dldr.Psyme.Q
      WURDE GELÖSCHT!
  sp[1].exe
      [FUND!] Ist das Trojanische Pferd TR/SPY.SPot
      WURDE GELÖSCHT!
  sp[2].exe
      [FUND!] Ist das Trojanische Pferd TR/SPY.SPot
      WURDE GELÖSCHT!

Moderator informieren  

das war grad mal 1/10 von der liste oda so... sie wär noch ein stück weit länger gewesen, aber ich hoffe ihr könnt mir auch so weiter helfen.

Moderator informieren  

na dann schau dir das mal an,
http://www.computerhilfen.de/hilfen-2-37704-0.html
stelle dich doch mal als tester zur verfügung!

Moderator informieren  

Hier escan und Sysclean im abges.-Modus laufen lassen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Und adawareaway is halt nur gegen Spyware/Adware und hilft nicht bei Viren.

Gruß

Moderator informieren  

Dank hab zwar nich um hilfe gebeten aber ihr habt mir trotzdem sehr weitergeholfen  :):):):):):)

Moderator informieren  

Was ist eigentlich dieses HiJack this ?
Braucht man das ?
Mir gefällt das nicht sehr gut, mit den elends langen Listen kann man ja nix anfangen!  ???

Moderator informieren  

Seiten: 1 2 [Alle]
« PC: TR/SmalllWin XP: herunterfahren von NT-Autoritätsy.ausgelöst! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

SpeeD Gast

Datum: 26.05.04, 19:08:41

14860x gelesen, 20 Antworten.

Seiten: 1 2 [Alle]

0 und 1 Gast betrachten dieses Thema.
Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...


Mehr zu twaintec.cab

twaintec.cab entfernen?

Hallo, ich möchte erfahren, wie ich den Virus twaintec.cab ...

Hijack : twaintec.dll / twtini.inf / lastgood

Hallo, habe ein bereits hier schon mal erläutertes Problem,...

SicherheitsschlossIE lässt sich nicht öffnen, twaintec.dll

 ???Computerneuling hat einen fehler im IE wie kann ich diesen beheben?IE hat einen fehler durc...


Ähnliche Fragen: