Home » Viren, Trojaner & Malware Forum » und wieder: dialer idd*.tmp.exe » Themenansicht

und wieder: dialer idd*.tmp.exe

Thema ist geschlossen!
Thema ist geschlossen!
07.10.2006, 01:01
booomer
...neu hier

Beiträge: 4
#1 Hallo, ich will ja wirklich niemanden langweilen oder nerven, aber ich habe ebenfalls das Problem mit dem Dialer, der eigenständig idd*.tmp.exe Dateien im Verzeichnis C:/Windows/Temp erstellt. Da ich mitten in meiner Examensarbeit stecke, kann ich den Rechner jetzt nicht plätten, drum bitte ich auf diesem Wege um Hilfe. Wie kriege ich den Mist weg. Anderen Postings zum Thema habe ich entnehmen können, dass verschieden Logfiles zu Diagnosezwecken erforderlich sind. Hier sind sie also:

1)
Logfile of HijackThis v1.99.1
Scan saved at 00:30:10, on 07.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
E:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton SystemWorks\Norton Ghost\Agent\VProSvc.exe
E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
E:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\WINDOWS\Dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\Norton Password Manager\AcctMgr.exe
E:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
E:\Programme\TV Movie\TV Movie ClickRecorder\ClickRecorder.exe
E:\Programme\Duden\Duden Korrektor\dk3tray.exe
E:\Programme\Paragon\Last Minute Gebot\plmg.exe
E:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\DitExp.exe
E:\Programme\Office-Bibliothek\PCLib.exe
E:\Programme\Office-Bibliothek\officebib.exe
C:\WINDOWS\system32\txtuser.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
E:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netzeitung.de/
O4 - HKLM\..\Run: [Norton Ghost 10.0] "E:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] E:\Programme\Norton Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [PCZeitschaltuhr] E:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Duden Korrektor 3.5] E:\Programme\Duden\Duden Korrektor\dk3tray.exe
O4 - HKCU\..\Run: [Last Minute Bidder Deluxe Edition Trial] E:\Programme\Paragon\Last Minute Gebot\plmg.exe
O4 - HKCU\..\Run: [AnyDVD] E:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Startup: Garantie-Termin.lnk = E:\Programme\Garantie\Garantie_term.exe
O4 - Startup: WISO Bewerbung 2007 Reminder.lnk = E:\Programme\WISO\Bewerbung 2007\KCReminder.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = E:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {0221703C-6E84-4915-9960-593A66B3D84E} - E:\Programme\ELOoffice\EloArcConnect.exe
O9 - Extra 'Tools' menuitem: ELO Konfiguration - {0221703C-6E84-4915-9960-593A66B3D84E} - E:\Programme\ELOoffice\EloArcConnect.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ELO Archiv - {39FC0E7F-84EA-4962-AB58-33913BC63CAB} - E:\Programme\ELOoffice\EloInternetExplorer.htm
O9 - Extra button: Artikel hinzufügen - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe
O9 - Extra 'Tools' menuitem: Artikel hinzufügen - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/604bab07db6d8507d2bc55e8ae739add_35.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://playqames.com/default.cab?uid=60&id=31245&ex&1s&ppd=5
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.gsg.goe.ni.schule.de/activex/AxisCamControl.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} - http://advnt01.com/dialer/int_ver30.CAB
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - E:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - E:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PC Zeitschaltuhr Service (PCZeitschaltuhrService) - Unknown owner - E:\Programme\DATA BECKER\PC Zeitschaltuhr\PCZeitschaltuhrService.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - E:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - E:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

2) Cleanup durchgeführt

3) Combofix:

Stefan Knapp - 06-10-06 20:13:45,93 Service Pack 2
ComboFix 06.09.28 - Running from: "E:\Temp"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe


((((((((((((((((((((((((((((((( Files Created from 2006-09-06 to 2006-10-06 ))))))))))))))))))))))))))))))))))


2006-10-06 16:57 352,487 ---hs---- C:\WINDOWS\system32\hhkmp.ini2
2006-10-06 16:55 86,036 --a------ C:\WINDOWS\system32\vefsurfl.dll
2006-10-06 16:55 684,084 ---hs---- C:\WINDOWS\system32\pmkhh.dll
2006-10-06 16:55 351,339 ---hs---- C:\WINDOWS\system32\hhkmp.bak1
2006-10-06 12:04 40,973 ---hs---- C:\WINDOWS\system32\efcccyx.dll
2006-10-06 12:04 15,872 --a------ C:\WINDOWS\system32\wineij32.dll
2006-09-24 19:15 20,096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-09-13 14:45 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-09-13 14:33 96,256 --a------ C:\WINDOWS\system32\drivers\sptd4461.sys
2006-09-13 14:33 643,072 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-06 20:06 -------- d-------- C:\Dokumente und Einstellungen\Stefan Knapp\Anwendungsdaten\Last Minute Gebot
2006-10-06 17:15 -------- d-------- C:\Dokumente und Einstellungen\Stefan Knapp\Anwendungsdaten\Lavasoft
2006-10-04 16:31 -------- d-------- C:\Dokumente und Einstellungen\Stefan Knapp\Anwendungsdaten\Canon
2006-09-28 17:34 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-09-13 16:17 -------- d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service
2006-09-13 16:15 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-05 12:45 -------- d-------- C:\Programme\Brother
2006-09-05 12:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Brother
2006-09-05 12:42 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-14 14:36 -------- d-------- C:\Programme\Java
2006-08-09 08:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-09 08:26 -------- d-------- C:\Programme\Gemeinsame Dateien\DLE
2006-08-09 07:50 -------- d-------- C:\Programme\Internet Explorer
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-11 11:54 278528 --a------ C:\MSSP3GE.DLL
2006-07-10 16:39 565248 --a------ C:\MSGRGE32.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="\"E:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"Duden Korrektor 3.5"="E:\\Programme\\Duden\\Duden Korrektor\\dk3tray.exe"
"Last Minute Bidder Deluxe Edition Trial"="E:\\Programme\\Paragon\\Last Minute Gebot\\plmg.exe"
"AnyDVD"="E:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Ghost 10.0"="\"E:\\Programme\\Norton SystemWorks\\Norton Ghost\\Agent\\GhostTray.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"Dit"="Dit.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"AcctMgr"="E:\\Programme\\Norton Password Manager\\AcctMgr.exe /startup"
"PCZeitschaltuhr"="E:\\Programme\\DATA BECKER\\PC Zeitschaltuhr\\PCZeitschaltuhr.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e8,00,00,00,00,00,00,00,18,04,00,00,a1,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:ff,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"AnyDVD"="E:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-]
"PSDrvCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"zBrowser Launcher"="C:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"PCMService"="\"E:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"SSBkgdUpdate"="C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe -Embedding -boot"
"SoundMan"="SOUNDMAN.EXE"
"AnyDVD"="\"E:\\Programme\\SlySoft\\AnyDVD\\AnyDVD.exe\""
"Acrobat Assistant 7.0"="\"E:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineij32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Stefan Knapp.job
C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job
C:\WINDOWS\tasks\Symantec Drmc.job

Completion time: 06.10.2006 20:18:01.14
ComboFix.txt

4) datfind:

a) system32.txt:

Volume in Laufwerk E: hat keine Bezeichnung.
Volumeseriennummer: C9EA-E4F3

Verzeichnis von E:\

03.07.2006 08:43 27.136 Lebenslauf2006.doc
02.03.2006 11:33 24.265.736 dotnetfx.exe
16.02.2006 19:08 94.561 adresse-Yves.gif
23.01.2006 11:46 579.794 silipa93.exe
22.01.2006 17:27 66.048 Thumbs.db
22.01.2006 17:23 84.853 dramentheorie.gif
10.12.2005 15:54 5.063 1c_2.jpg
10.12.2005 15:52 29.841 navone-gallerie.jpg
09.12.2005 10:50 3.027.592 Track01.mp3
05.12.2005 13:46 75.851 pm_goe_011205.pdf
27.11.2005 19:28 19.968 Hallo Leute.doc
24.11.2005 14:04 367.517 Unbenannt-1.jpg
24.11.2005 14:03 841.510 Unbenannt-2.jpg
23.11.2005 08:41 397.175 prison-planet.jpg
13.11.2005 13:37 63.787 norespectlogo.jpg
13.11.2005 12:31 683.008 reiseimpfung.doc
13.11.2005 12:30 641.692 reiseimpfung.gif
13.11.2005 12:25 717.312 privatrechnung.doc
13.11.2005 11:57 685.000 privatrechnung.gif
13.11.2005 11:51 912.384 Erklaerung 2.doc
13.11.2005 11:50 914.432 Erklaerung 1.doc
13.11.2005 11:39 892.159 erklaerung.gif
13.11.2005 11:35 310.272 Quittungen2.doc
13.11.2005 11:34 313.856 Quittungen1.doc
13.11.2005 11:26 143.769 quittung.gif
12.11.2005 14:04 2.855.080 aawsepersonal.exe
26 Datei(en) 39.015.396 Bytes
0 Verzeichnis(se), 8.117.768.192 Bytes frei
i


Ich hoffe, dass diese Angaben ein erster Beitrag zur Lösung meines Problems sind. Wenn was fehlt, bitte melden. Für Eure Hilfe bin ich wirklich sehr dankbar.

Achso, die Symptome...Also im Abstand von 15-20 Minuten taucht eine Fehlermeldung auf, die meines erachtens auf Italienisch zu verstehen gibt, dass ein Einwahlversuch fehlgeschlagen ist. (ich gehe übrigens über dsl 2000 online) Das Fenster der Fehlermeldung hat dabei dann wechselnde Dateinamen "idd*.tmp". Im Verzeichnis C:/windows/temp werden verschiedene Anwendungsdateien *.tmp.exe erstellt. Ich habe heute im abgesicherten Modus einen kompletten Virenscan mit Norton und einen durchlauf mit einer anti adaware Software gemacht. Bitte helft mir! Danke!
Seitenanfang Seitenende
07.10.2006, 09:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 du hast datfindbat auf E:\ entpackt und nicht auf C:\, wie es sein sollte.
merkst du das nicht ??? alle logs sind gleich ;) Damit kann ich nichts anfangen...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 10:23
booomer
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Sabina.
Vielen Dank, dass du mir helfen möchtest. Gestern wars schon spät...Ich habe eben die logs für c: gemacht, allerdings ist die system32.txt riesengroß. Kann ich die hier überhaupt posten? Ich habe es eben schon mal probiert, aber in meinem post wurde gar nicht alles angezeigt.
Seitenanfang Seitenende
07.10.2006, 11:00
Terementor
Member

Beiträge: 130
#4 du brauchst nur die letzten 3 monate zu posten. wenn das trotzdem zugroß ist speicher die datei als ahnang hier
Seitenanfang Seitenende
07.10.2006, 13:54
booomer
...neu hier

Themenstarter

Beiträge: 4
#5 Also ich versuchs jetzt einfach mal, in der Hoffnung nicht alles zu sprengen. Die system32.txt setze ich ans Ende.

1.) systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\DOKUME~1\STEFAN~1\LOKALE~1\Temp

07.10.2006 10:32 1.276 WcesView.log
07.10.2006 10:32 32.768 ~DF96D3.tmp
07.10.2006 10:32 512 ~DF9472.tmp
07.10.2006 10:32 512 ~DF6E95.tmp
07.10.2006 10:31 512 ~DF48E1.tmp
07.10.2006 10:31 512 ~DF1908.tmp
07.10.2006 10:31 512 ~DFF19B.tmp
07.10.2006 10:31 512 ~DFBF05.tmp
07.10.2006 10:31 512 ~DF5C65.tmp
07.10.2006 10:31 512 ~DF364A.tmp
07.10.2006 10:31 512 ~DFEA19.tmp
07.10.2006 10:31 512 ~DF3EB6.tmp
07.10.2006 10:31 32.768 ~DFDBCF.tmp
07.10.2006 08:55 612 jusched.log
07.10.2006 08:48 16.384 ~DFAE20.tmp
07.10.2006 08:45 32.768 ~DFB41F.tmp
07.10.2006 08:45 224 WCESCOMM.LOG
07.10.2006 08:45 16.384 Perflib_Perfdata_4e4.dat
07.10.2006 08:40 32.768 ~DFA59E.tmp
07.10.2006 08:32 16.384 ~DF2928.tmp
07.10.2006 08:17 32.768 ~DFCB2D.tmp
07.10.2006 08:17 512 ~DFC8F7.tmp
07.10.2006 08:17 512 ~DFA7DA.tmp
07.10.2006 08:17 512 ~DF8322.tmp
07.10.2006 08:17 512 ~DF4AAE.tmp
07.10.2006 08:17 512 ~DF1D19.tmp
07.10.2006 08:17 512 ~DFEF68.tmp
07.10.2006 08:17 512 ~DF980F.tmp
07.10.2006 08:17 512 ~DF5E70.tmp
07.10.2006 08:17 512 ~DFE691.tmp
07.10.2006 08:17 512 ~DF6966.tmp
07.10.2006 08:16 32.768 ~DF4608.tmp
07.10.2006 08:13 32.768 ~DF4C8D.tmp
07.10.2006 08:13 16.384 Perflib_Perfdata_530.dat
07.10.2006 00:21 32.768 ~DF49F4.tmp
07.10.2006 00:20 688.128 ~WRF0000.tmp
13.09.2006 14:45 171.607 A~NSISu_.exe
02.10.2004 23:39 78.813 _iu14D2N.tmp
28.09.2001 17:00 164.864 GLB1A2B.EXE
39 Datei(en) 1.443.444 Bytes
0 Verzeichnis(se), 9.564.782.592 Bytes frei

2.) system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\WINDOWS

07.10.2006 10:18 749.612 setupapi.log
07.10.2006 08:48 116 NeroDigital.ini
07.10.2006 08:45 0 0.log
07.10.2006 08:45 159 wiadebug.log
07.10.2006 08:45 1.328.467 WindowsUpdate.log
07.10.2006 08:45 50 wiaservc.log
07.10.2006 08:44 2.048 bootstat.dat
07.10.2006 08:43 32.614 SchedLgU.Txt
06.10.2006 16:45 137.806 ntbtlog.txt
29.09.2006 11:04 1.228 ODBC.INI
28.09.2006 17:17 23.666 KB925486.log
28.09.2006 07:31 1.700 KB925486Uninst.log
28.09.2006 07:31 43.633 updspapi.log
27.09.2006 22:09 33.772 LUINSTALL.LOG
13.09.2006 20:58 644.177 iis6.log
13.09.2006 20:58 191.926 comsetup.log
13.09.2006 20:58 116.545 ntdtcsetup.log
13.09.2006 20:58 27.376 tabletoc.log
13.09.2006 20:58 257.780 tsoc.log
13.09.2006 20:58 1.374 imsins.log
13.09.2006 20:58 30.910 ocmsn.log
13.09.2006 20:58 12.981 KB920685.log
13.09.2006 20:58 96.367 netfxocm.log
13.09.2006 20:58 38.851 MedCtrOC.log
13.09.2006 20:58 279.872 ocgen.log
13.09.2006 20:58 27.856 msgsocm.log
13.09.2006 20:58 537.520 FaxSetup.log
13.09.2006 20:57 174.936 msmqinst.log
13.09.2006 20:57 1.374 imsins.BAK
13.09.2006 20:57 15.633 KB920872.log
13.09.2006 20:57 13.277 KB919007.log
13.09.2006 20:57 9.357 KB922582.log
13.09.2006 16:18 1.087 WISO.INI
07.09.2006 00:26 266 SADWebfotoalbum.INI
15.08.2006 15:24 149 txtuser.txt
15.08.2006 15:24 28 txtuser.log
09.08.2006 07:51 21.682 KB920214.log
09.08.2006 07:51 20.703 KB921883.log
09.08.2006 07:51 20.717 KB922616.log
09.08.2006 07:51 20.684 KB921398.log
09.08.2006 07:50 23.097 KB918899.log
09.08.2006 07:50 12.944 KB920670.log
09.08.2006 07:50 12.283 KB917422.log
09.08.2006 07:49 12.546 KB920683.log
07.08.2006 12:08 150.881 wmsetup.log
27.07.2006 07:50 20.167 KB916595.log
24.07.2006 12:59 105 buhl.ini
12.07.2006 08:23 21.112 KB917159.log
12.07.2006 08:22 21.686 KB914388.log
06.07.2006 12:58 32 weitere.INI
03.07.2006 17:20 66.811 Abpfiff.Hlp
29.06.2006 08:27 8.358 WgaNotify.log
28.06.2006 08:28 9.976 KB911280.log
18.06.2006 03:10 2.737 spupdsvc.log
18.06.2006 03:02 13.185 KB917734.log
18.06.2006 03:01 15.177 KB918439.log
18.06.2006 03:01 15.858 KB917344.log
18.06.2006 03:01 14.816 KB917953.log
18.06.2006 03:01 18.447 KB916281.log
18.06.2006 03:00 11.598 KB914389.log
20.05.2006 09:01 1.174 OEWABLog.txt
19.05.2006 08:30 730 win.ini
19.05.2006 08:30 455 system.ini
13.05.2006 17:42 8.628 abpfiff.GID
12.05.2006 11:04 12.184 KB913580.log
26.04.2006 10:33 11.871 KB900485.log
18.04.2006 08:24 143 DICTEDIT.INI
15.04.2006 07:04 17.675 KB908531.log
15.04.2006 07:04 16.840 KB911562.log
15.04.2006 07:03 19.347 KB912812.log
15.04.2006 07:03 15.398 KB911565.log
15.04.2006 07:02 12.309 KB911567.log
30.03.2006 21:50 316.640 WMSysPr9.prx
08.03.2006 21:31 10 inform.ini
03.03.2006 07:27 1.452 COM+.log
19.02.2006 04:02 10.696 KB911927.log
19.02.2006 04:02 6.979 KB911564.log
19.02.2006 04:01 6.706 KB913446.log
07.02.2006 17:23 130.560 DBReg.exe
03.02.2006 10:20 16.393 German.ini
02.02.2006 17:48 369.152 DBREG.dll
11.01.2006 08:37 10.170 KB908519.log
07.01.2006 04:00 11.086 KB912919.log
...(ab hier aus dem Jahr 2005)

219 Datei(en) 13.636.477 Bytes
0 Verzeichnis(se), 9.564.778.496 Bytes frei

3.) tmp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\WINDOWS\Temp

07.10.2006 10:32 1.166 win25C.tmp
07.10.2006 10:30 0 win259.tmp
07.10.2006 10:30 0 win258.tmp
07.10.2006 10:30 0 win257.tmp
07.10.2006 10:28 0 win243.tmp
07.10.2006 10:28 0 win242.tmp
07.10.2006 10:28 0 win244.tmp
07.10.2006 10:26 0 win207.tmp
07.10.2006 10:26 0 win205.tmp
07.10.2006 10:26 0 win206.tmp
07.10.2006 10:24 0 win1FB.tmp
07.10.2006 10:24 0 win1F9.tmp
07.10.2006 10:24 0 win1FA.tmp
07.10.2006 10:22 0 win1F8.tmp
07.10.2006 10:22 0 win1F7.tmp
07.10.2006 10:22 0 win1F6.tmp
07.10.2006 10:20 0 win1F4.tmp
07.10.2006 10:20 0 win1F3.tmp
07.10.2006 10:20 0 win1F5.tmp
07.10.2006 10:14 13.080 idd2D.tmp.exe
07.10.2006 09:54 13.080 idd1F.tmp.exe
07.10.2006 09:52 0 win1E.tmp
07.10.2006 09:50 0 win1D.tmp
07.10.2006 09:48 0 win1B.tmp
07.10.2006 09:28 13.080 idd16.tmp.exe
07.10.2006 09:06 13.080 idd13.tmp.exe
07.10.2006 09:04 0 winC.tmp
07.10.2006 09:02 0 win5.tmp
07.10.2006 09:00 0 win4.tmp
07.10.2006 08:52 409 WGANotify.settings
07.10.2006 08:44 16.384 Perflib_Perfdata_78c.dat
07.10.2006 08:44 255 WGAErrLog.txt
07.10.2006 08:18 13.080 idd22.tmp.exe
07.10.2006 08:18 0 win21.tmp
07.10.2006 08:18 0 win20.tmp
07.10.2006 08:18 0 win1F.tmp
07.10.2006 08:18 55.296 mst1D.tmp
07.10.2006 08:18 0 win1C.tmp
07.10.2006 08:18 1.166 win19.tmp
07.10.2006 08:16 0 winB.tmp
07.10.2006 08:16 0 winA.tmp
07.10.2006 08:16 0 win9.tmp
07.10.2006 08:14 0 win6.tmp
07.10.2006 08:14 0 win7.tmp
07.10.2006 08:14 0 win8.tmp
07.10.2006 08:13 16.384 Perflib_Perfdata_604.dat
07.10.2006 08:12 0 win3.tmp
07.10.2006 08:12 0 win2.tmp
07.10.2006 08:12 0 win1.tmp
07.10.2006 00:56 13.080 idd1D.tmp.exe
07.10.2006 00:56 33.280 win1C.tmp.exe
07.10.2006 00:42 1.176 win1A.tmp
07.10.2006 00:36 13.080 idd15.tmp.exe
07.10.2006 00:36 33.280 win14.tmp.exe
54 Datei(en) 250.356 Bytes
0 Verzeichnis(se), 9.564.782.592 Bytes frei


4.) down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.06.2006 18:33 1.132.192 EPUWALcontrol.dll
09.05.2006 16:51 539 EPUWALcontrol.inf
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
08.09.2005 16:55 1.476 int_ver32b.INF
06.08.2005 12:38 1.467 int_ver30.INF
29.06.2005 18:17 227 opuc.inf
17.05.2005 18:23 116 games.inf
16.03.2005 12:14 65 desktop.ini
09.08.2004 07:02 327.680 isusweb.dll
21.03.2003 15:13 192.512 AxisCamControl.ocx
17.12.2002 17:25 325 AxisCamControl.inf
11.12.2002 13:09 192.512 CamCli.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
18.08.1999 01:54 180.224 ijl11.dll
15 Datei(en) 2.251.395 Bytes
0 Verzeichnis(se), 9.564.639.232 Bytes frei

5.) syst.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\

07.10.2006 10:35 0 sys.txt
07.10.2006 10:34 1.017 down.txt
07.10.2006 10:34 2.851 tmp.txt
07.10.2006 10:33 11.095 system.txt
07.10.2006 10:33 2.188 systemtemp.txt
07.10.2006 10:32 111.377 system32.txt
07.10.2006 08:44 536.399.872 hiberfil.sys
07.10.2006 08:44 805.306.368 pagefile.sys
07.10.2006 00:32 7.284 ComboFix.txt
04.10.2006 09:23 668 datFind.bat
13.09.2006 17:23 3.629 xx.rtf
04.09.2006 16:32 71.168 Tmp.sta
11.07.2006 11:54 278.528 MSSP3GE.DLL
10.07.2006 16:39 565.248 MSGRGE32.DLL
19.05.2006 08:30 211 boot.ini
13.02.2006 08:42 4.919 Thread.txt
16.03.2005 12:15 0 IO.SYS
16.03.2005 12:15 0 AUTOEXEC.BAT
16.03.2005 12:15 0 MSDOS.SYS
16.03.2005 12:15 0 CONFIG.SYS
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
23.08.2001 14:00 4.952 bootfont.bin
23 Datei(en) 1.343.070.123 Bytes
0 Verzeichnis(se), 9.564.639.232 Bytes frei

6.) system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 869C-896E

Verzeichnis von C:\WINDOWS\system32

07.10.2006 10:32 354.194 hhkmp.ini2
07.10.2006 08:46 2.206 wpa.dbl
07.10.2006 08:45 6.656 ismini.exe
07.10.2006 08:18 38.940 ishost.exe
06.10.2006 17:13 143 mcrh.tmp
06.10.2006 17:02 352.270 hhkmp.ini
06.10.2006 16:57 352.270 hhkmp.tmp
06.10.2006 16:55 86.036 vefsurfl.dll
06.10.2006 16:55 351.339 hhkmp.bak1
06.10.2006 16:55 684.084 pmkhh.dll
06.10.2006 12:10 4.286 ot.ico
06.10.2006 12:10 4.286 ts.ico
06.10.2006 12:04 40.973 efcccyx.dll
06.10.2006 12:04 15.872 wineij32.dll
11.09.2006 19:37 8.960.936 MRT.exe
09.09.2006 08:59 214.472 FNTCACHE.DAT
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
14.08.2006 14:36 8.615 jupdate-1.4.2_12-b03.log
09.08.2006 08:12 383.254 perfh009.dat
09.08.2006 08:12 53.608 perfc009.dat
09.08.2006 08:12 394.500 perfh007.dat
09.08.2006 08:12 64.598 perfc007.dat
09.08.2006 08:12 906.552 PerfStringBackup.INI
03.08.2006 17:34 466.944 capicom.dll
01.08.2006 08:29 7.006 jupdate-1.5.0_06-b05.log
28.07.2006 13:28 3.075.072 mshtml.dll

...(ab hier 2005 und älter)

2274 Datei(en) 425.358.903 Bytes
0 Verzeichnis(se), 9.564.762.112 Bytes frei
Seitenanfang Seitenende
07.10.2006, 15:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 booomer

0.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineij32

Files to delete:
C:\WINDOWS\Downloaded Program Files\int_ver32b.INF
C:\WINDOWS\Downloaded Program Files\int_ver30.INF
C:\WINDOWS\Temp\idd2D.tmp.exe
C:\WINDOWS\Temp\idd1F.tmp.exe
C:\WINDOWS\Temp\win1E.tmp
C:\WINDOWS\Temp\win1D.tmp
C:\WINDOWS\Temp\win1B.tmp
C:\WINDOWS\Temp\idd16.tmp.exe
C:\WINDOWS\Temp\idd13.tmp.exe
C:\WINDOWS\Temp\winC.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win4.tmp
C:\WINDOWS\Temp\idd22.tmp.exe
C:\WINDOWS\Temp\win21.tmp
C:\WINDOWS\Temp\win20.tmp
C:\WINDOWS\Temp\win1F.tmp
C:\WINDOWS\Temp\mst1D.tmp
C:\WINDOWS\Temp\win1C.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\winB.tmp
C:\WINDOWS\Temp\winA.tmp
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win3.tmp
C:\WINDOWS\Temp\win2.tmp
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\idd1D.tmp.exe
C:\WINDOWS\Temp\win1C.tmp.exe
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\idd15.tmp.exe
C:\WINDOWS\Temp\win14.tmp.exe
C:\WINDOWS\Temp\win25C.tmp
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\hhkmp.ini2
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\hhkmp.ini
C:\WINDOWS\system32\hhkmp.tmp
C:\WINDOWS\system32\vefsurfl.dll
C:\WINDOWS\system32\hhkmp.bak1
C:\WINDOWS\system32\pmkhh.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\efcccyx.dll
C:\WINDOWS\system32\wineij32.dll

Folders to delete:
C:\Programme\Safety Bar
C:\WINDOWS\system32\components

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter c:\Avenger\backup.zip

**
scanne mit smitfraudfix (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

-----------

**
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k


**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} - http://www.tbcode.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} - http://advnt01.com/dialer/int_ver30.CAB

O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.10.2006, 20:52
booomer
...neu hier

Themenstarter

Beiträge: 4
#7 Also erst mal ein herzliches Dankeschön für die umfangreiche Hilfe. Ich habe alles so gemacht, wie gepostet und tatsächlich, der Dialer ist weg!!!! Klasse Ich habe abschließend das System 3x mit superantispyware gescanned. Beim ersten mal wurden noch 50 Bedrohungen gefunden. hier das log:

SUPERAntiSpyware Scan Log
Generated 10/07/2006 at 05:57 PM

Core Rules Database Version : 3099
Trace Rules Database Version: 1126

Memory Thread detected : 0
Registry Thread detected : 30
File Thread detected : 20

Adware.Vundo Variant
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{318C4B8C-0834-4B65-96FA-6F73AB6A9AAB}
HKCR\CLSID\{318C4B8C-0834-4B65-96FA-6F73AB6A9AAB}
HKCR\CLSID\{318C4B8C-0834-4B65-96FA-6F73AB6A9AAB}\InprocServer32
HKCR\CLSID\{318C4B8C-0834-4B65-96FA-6F73AB6A9AAB}\InprocServer32#ThreadingModel
C:\WINDOWS\system32\pmkhh.dll

Unclassified.Unknown Origin
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{849B9523-785F-4014-9CAF-079FB4A74C61}
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}\InprocServer32
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}\InprocServer32#ThreadingModel
C:\WINDOWS\system32\vefsurfl.dll
HKCR\CLSID\{849B9523-785F-4014-9CAF-079FB4A74C61}

Browser Hijacker.BestSafetyGuide
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}\InprocServer32
HKCR\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}\InprocServer32#ThreadingModel
C:\WINDOWS\system32\ixt0.dll

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@de[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@de.winantivirus[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@8[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@mediaplex[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@winantivirus[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@securityworm5[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@stats1.reliablestats[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@www.winantiviruspro[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@cpvfeed[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@www.amaena[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@doubleclick[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@amaena[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@msnportal.112.2o7[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@indexstats[2].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@www.winantivirus[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@2006[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@scanner[1].txt

Adware.IST/ISTBar (Slotch Bar)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll#.Owner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll#{7C559105-9ECF-42B8-B3F7-832E75EDD959}
HKU\S-1-5-21-484763869-1979792683-1801674531-1003\Software\Microsoft\Internet Explorer\Main#BandRest
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main#BandRest

Adware.IST/YourSiteBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#.Owner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID

Trojan.Malware
HKCR\MezziaCodec.Chl
HKCR\MezziaCodec.Chl\CLSID

den zweiten Scan habe ich im abgesicherten Modus durchgeführt. Hier das log:

SUPERAntiSpyware Scan Log
Generated 10/07/2006 at 07:03 PM

Core Rules Database Version : 3099
Trace Rules Database Version: 1126

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@mediaplex[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@doubleclick[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@msnportal.112.2o7[1].txt

und dann nochmal mit normal gebooteten System. Log:

SUPERAntiSpyware Scan Log
Generated 10/07/2006 at 07:57 PM

Core Rules Database Version : 3099
Trace Rules Database Version: 1126

Memory Thread detected : 0
Registry Thread detected : 0
File Thread detected : 4

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@mediaplex[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@doubleclick[1].txt
C:\Dokumente und Einstellungen\Stefan Knapp\Cookies\stefan knapp@msnportal.112.2o7[1].txt

Trojan.Downloader-WinXTX32
C:\System Volume Information\_restore{770F6320-8BCC-4E86-894E-11A6AADD262C}\RP538\A0060482.dll

Ich glaube jetz ist bei mir wieder alles sauber. Nochmal vielen Dank. Das war einfach großartig!!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1