Infizierung durch Virus Busters

Thema ist geschlossen!
Thema ist geschlossen!
27.11.2006, 09:50
...neu hier

Beiträge: 2
#1 Hab seit gestern Abend ohne Ende Probs mit meinem Sys dank Virus Busters.

Hier mal der HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 09:49:21, on 27.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Silver Codec\pmmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Silver Codec\pmsngr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Pin0rken\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{996BCA2D-BC75-440D-BFB0-7E8FBE8622ED}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe



THX schon einmal für den Support...
Seitenanfang Seitenende
27.11.2006, 12:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 pin0rken

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{4fc003c3-87a0-489c-85cd-878246eb2d18}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|amaranthaceous
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200}
HKLM\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec
HKLM\SOFTWARE\Classes\CLSID\{4fc003c3-87a0-489c-85cd-878246eb2d18}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters

Files to delete:
C:\WINDOWS\system32\oebxpba.dll

Folders to delete:
C:\Programme\Silver Codec
C:\Programme\Virus-Bursters
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 13:28
...neu hier

Beiträge: 8
#3 hallo, leider hats mich auch mit dem virus buster erwischt, bitte um hilfe.


Logfile of HijackThis v1.99.1
Scan saved at 12:58:10, on 27.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\1&1\1&1 EasyLogin\EasyLogin.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\Neues Verzeichnis\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {CA7F75BD-CF50-9A8A-7F91-C79EFC4157E8} - C:\WINDOWS\system32\fvux.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpap.dll,startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1&1 EasyLogin] "d:\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Iact] "C:\DOKUME~1\Tom\ANWEND~1\SEMBLY~1\cmd.exe" -vt tzt
O4 - HKCU\..\Run: [d:\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [Acb] C:\Programme\F?nts\n?tepad.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.2.89.cab
O21 - SSODL: boucicault - {0bad5052-665d-40d4-a9bd-a2891eaafb42} - C:\WINDOWS\system32\fmrmhc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

---------------------------


Tom - 06-11-27 12:34:18.32 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Tom\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Programme\Safety Bar
C:\WINDOWS\system32\components

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\cmd.exe
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0000
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0001
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0002
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0003
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0004
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0005
C:\QooBox\Purity\Programme\FNTS~1
C:\QooBox\Purity\Programme\FNTS~1\Neu Textdokument.txt
C:\QooBox\Purity\Programme\FNTS~1\n?tepad.exe

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\cmd.exe
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0000
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0001
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0002
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0003
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0004
C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0005
C:\QooBox\Purity\Programme\FNTS~1
C:\QooBox\Purity\Programme\FNTS~1\Neu Textdokument.txt
C:\QooBox\Purity\Programme\FNTS~1\n?tepad.exe


((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-27 12:27 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-26 21:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-25 18:51 -------- d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\dvdcss
2006-11-10 11:46 -------- d-------- C:\Programme\Java
2006-11-06 11:43 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-05 13:18 -------- d-------- C:\Programme\Google
2006-10-28 16:30 -------- d-------- C:\Programme\Windows Media Player
2006-10-05 17:35 -------- d---s---- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft
2006-10-05 16:20 -------- d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2006-10-04 11:53 -------- d-------- C:\Programme\Telefonbuch Mnchen 2006_2007
2006-10-04 11:33 -------- d-------- C:\Programme\Symbian
2006-10-04 11:33 -------- d-------- C:\Programme\Siemens Data Suite SX1
2006-10-04 11:33 -------- d-------- C:\Programme\Intuwave
2006-10-04 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Siemens AG Shared
2006-10-04 11:29 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-28 13:18 -------- d-------- C:\Programme\EQ2MAP Updater


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"1&1 EasyLogin"="\"d:\\1&1\\1&1 EasyLogin\\EasyLogin.exe\" HIDE"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"Iact"="\"C:\\DOKUME~1\\Tom\\ANWEND~1\\SEMBLY~1\\cmd.exe\" -vt tzt"
"d:\\1&1\\1&1 EasyLogin\\EasyLogin.exe"="\"1&1 EasyLogin\" HIDE"
"Acb"="C:\\Programme\\F?nts\\n?tepad.exe"
"Eraser"="C:\\Programme\\Eraser\\eraser.exe -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe"
"SoundMan"="SOUNDMAN.EXE"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"mRouterConfig for Siemens Data Suite SX1"="C:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterConfig.exe"
"CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvpap.dll,startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{0bad5052-665d-40d4-a9bd-a2891eaafb42}"="boucicault"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9B0C7A02-A17A-4C81-BD7D-30A622701C36}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"boucicault"="{0bad5052-665d-40d4-a9bd-a2891eaafb42}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhfgf
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1138560988.job

Completion time: 06-11-27 12:35:56.95
C:\ComboFix.txt ... 06-11-27 12:35
C:\ComboFix2.txt ... 06-11-27 12:28
Seitenanfang Seitenende
27.11.2006, 13:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 fango

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 14:15
...neu hier

Beiträge: 8
#5 Verzeichnis von C:\WINDOWS\system32

27.11.2006 13:54 603.816 mlkkj.ini
27.11.2006 12:53 380.350 perfh009.dat
27.11.2006 12:53 391.000 perfh007.dat
27.11.2006 12:53 52.764 perfc009.dat
27.11.2006 12:53 63.580 perfc007.dat
27.11.2006 12:53 897.954 PerfStringBackup.INI
27.11.2006 12:49 63.062 nvapps.xml
27.11.2006 12:49 2.422 wpa.dbl
27.11.2006 00:26 71.168 drvpap.dll
27.11.2006 00:26 40.973 cbxyayx.dll
26.11.2006 23:50 40.973 wvursqq.dll
26.11.2006 23:35 2 wcpsvsu.exe
26.11.2006 23:35 40.973 jkkhfgf.dll
26.11.2006 20:04 77.824 fmrmhc.dll
26.11.2006 20:04 4.286 ot.ico
26.11.2006 20:04 38.420 gmkwblni.dll
26.11.2006 20:04 588.502 mlkkj.bak1
26.11.2006 20:03 708.660 jkklm.dll
26.11.2006 19:58 71.168 drvpuv.dll
26.11.2006 19:58 40.973 fccdcaw.dll
26.11.2006 19:58 17.408 winexz32.dll
10.11.2006 11:46 8.891 jupdate-1.5.0_09-b03.log
07.11.2006 17:38 10.342.824 MRT.exe
28.10.2006 16:30 16.832 amcompat.tlb
28.10.2006 16:30 23.392 nscompat.tlb
25.10.2006 14:17 131.072 fvux.dll
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe

-------------

Verzeichnis von C:\DOKUME~1\Tom\LOKALE~1\Temp

27.11.2006 12:54 346 jusched.log
27.11.2006 12:49 16.384 ~DF9633.tmp
27.11.2006 12:49 16.384 ~DFF61B.tmp
27.11.2006 12:49 512 ~DFF64C.tmp
27.11.2006 12:46 16.384 ~DF7ED7.tmp
27.11.2006 12:46 16.384 ~DF4DEB.tmp

----------------

Verzeichnis von C:\WINDOWS

27.11.2006 12:49 0 0.log
27.11.2006 12:49 159 wiadebug.log
27.11.2006 12:49 2.096.800 WindowsUpdate.log
27.11.2006 12:49 50 wiaservc.log
27.11.2006 12:49 2.048 bootstat.dat
27.11.2006 12:48 32.618 SchedLgU.Txt
26.11.2006 21:21 73.712 setupapi.log
25.11.2006 16:21 21.504 jestertb.dll
28.10.2006 16:54 23.562 wmsetup.log
28.10.2006 16:31 461 wmsetup10.log
28.10.2006 16:30 654 win.ini
10.10.2006 14:16 449 Mp3Settings.INI
05.10.2006 18:52 2.198 wsm2006.ini
04.10.2006 14:22 40 SDSScheduler.INI
04.10.2006 14:22 376 SchedulerSettings.INI
04.10.2006 11:52 57 start.INI
04.10.2006 11:43 90 PicturesSettings.INI

-----------------

Verzeichnis von C:\WINDOWS\Temp

27.11.2006 13:53 0 win8.tmp
27.11.2006 13:31 0 win7.tmp
27.11.2006 13:09 0 win6.tmp
27.11.2006 13:07 0 win5.tmp
27.11.2006 13:05 0 win4.tmp
27.11.2006 13:03 0 win3.tmp
27.11.2006 13:01 0 win2.tmp
27.11.2006 12:46 0 winB5.tmp
27.11.2006 12:46 0 winB4.tmp
27.11.2006 12:44 0 winB2.tmp
27.11.2006 12:44 0 winB3.tmp
27.11.2006 12:40 0 winB1.tmp
27.11.2006 12:38 0 winB0.tmp
27.11.2006 12:36 0 winAF.tmp

---------------------

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf


---------------------

Verzeichnis von C:\

27.11.2006 14:11 0 sys.txt
27.11.2006 14:10 509 down.txt
27.11.2006 14:10 878 tmp.txt
27.11.2006 14:09 8.330 system.txt
27.11.2006 14:07 535 systemtemp.txt
27.11.2006 14:05 100.788 system32.txt
27.11.2006 12:35 9.289 ComboFix.txt
27.11.2006 12:28 10.955 ComboFix2.txt
23.11.2006 19:48 519 hpfr3420.xml
23.11.2006 19:48 34.815 hpfr3420.log
04.10.2006 11:38 16.636 SDSSetup.log
04.10.2006 11:33 3 TCPCheckResult.txt
Seitenanfang Seitenende
27.11.2006, 15:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 fango


scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|boucicault
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0bad5052-665d-40d4-a9bd-a2891eaafb42}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|CTDrive

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhfgf
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklm
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32
HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42}

Files to delete:
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\WINDOWS\system32\mlkkj.ini
C:\WINDOWS\system32\drvpap.dll
C:\WINDOWS\system32\cbxyayx.dll
C:\WINDOWS\system32\wvursqq.dll
C:\WINDOWS\system32\wcpsvsu.exe
C:\WINDOWS\system32\jkkhfgf.dll
C:\WINDOWS\system32\fmrmhc.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\gmkwblni.dll
C:\WINDOWS\system32\mlkkj.bak1
C:\WINDOWS\system32\jkklm.dll
C:\WINDOWS\system32\drvpuv.dll
C:\WINDOWS\system32\fccdcaw.dll
C:\WINDOWS\system32\winexz32.dll
C:\WINDOWS\system32\fvux.dll


Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {CA7F75BD-CF50-9A8A-7F91-C79EFC4157E8} - C:\WINDOWS\system32\fvux.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)

O4 - HKCU\..\Run: [Iact] "C:\DOKUME~1\Tom\ANWEND~1\SEMBLY~1\cmd.exe" -vt tzt

O4 - HKCU\..\Run: [Acb] C:\Programme\F?nts\n?tepad.exe

««
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

---------------------------------------------------------------

«« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

»»
scanne mit superantispyware - poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

««
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.11.2006, 18:23
...neu hier

Beiträge: 8
#7 SUPERAntiSpyware Scan Log
Generated 11/27/2006 at 05:46 PM

Application Version : 3.3.1020

Core Rules Database Version : 3135
Trace Rules Database Version: 1152

Scan type : Complete Scan
Total Scan Time : 00:02:37

Memory items scanned : 440
Memory Thread detected : 4
Registry items scanned : 4835
Registry Thread detected : 10
File items scanned : 2402
File Thread detected : 4

Trojan.Update-Mcboo
C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\UPDATE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\UPDATE.EXE

Trojan.Hacktool
C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\SYSTEM.DLL
C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\SYSTEM.DLL

Adware.ClickSpring-Variant
C:\WINDOWS\SYSTEM32\KHN.DLL
C:\WINDOWS\SYSTEM32\KHN.DLL

Adware.Toolbar888
C:\PROGRA~1\GEMEIN~1\{309A8~1\888BAR.DLL
C:\PROGRA~1\GEMEIN~1\{309A8~1\888BAR.DLL

Unclassified.Unknown Origin
HKLM\Software\Classes\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}
HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}
HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\InprocServer32
HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\InprocServer32#ThreadingModel
HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\Programmable
HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\TypeLib
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}
HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}
HKCR\TypeLib\{B59B726B-F11D-928E-0DCF-E3F63CE4423D}

Adware.Avenue Media/Internet Optimizer
HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}



nachdem ich im abgesicherten modus noch einmal gescannt habe hat er nochmal 3 fehler gefunden

SUPERAntiSpyware Scan Log
Generated 11/27/2006 at 06:04 PM

Application Version : 3.3.1020

Core Rules Database Version : 0
Trace Rules Database Version: 0

Scan type : Quick Scan
Total Scan Time : 00:07:29

Memory items scanned : 158
Memory Thread detected : 0
Registry items scanned : 600
Registry Thread detected : 0
File items scanned : 9628
File Thread detected : 3

Adware.ClickSpring
C:\QOOBOX\PURITY\DOKUMENTE UND EINSTELLUNGEN\TOM\ANWENDUNGSDATEN\SEMBLY~1\CMD.EXE
C:\QooBox\Purity\Programme\FNTS~1\NTEPAD~1.EXE

Adware.ClickSpring/Yazzle
C:\WINDOWS\PREFETCH\YAZZLE1162OINADMIN.EXE-16F62D22.PF




nochmal die 6 logs :

Verzeichnis von C:\WINDOWS\system32

27.11.2006 17:51 380.350 perfh009.dat
27.11.2006 17:51 391.000 perfh007.dat
27.11.2006 17:51 52.764 perfc009.dat
27.11.2006 17:51 63.580 perfc007.dat
27.11.2006 17:51 897.954 PerfStringBackup.INI
27.11.2006 17:47 63.062 nvapps.xml
27.11.2006 17:47 2.422 wpa.dbl
27.11.2006 16:38 0 tmp.txt
27.11.2006 16:38 2.254 tmp.reg
27.11.2006 15:39 40.973 qomlijk.dll
10.11.2006 11:46 8.891 jupdate-1.5.0_09-b03.log
07.11.2006 17:38 10.342.824 MRT.exe
28.10.2006 16:30 23.392 nscompat.tlb
28.10.2006 16:30 16.832 amcompat.tlb
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe

-------------------

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

-------------------

Verzeichnis von C:\WINDOWS

27.11.2006 18:05 2.048 bootstat.dat
27.11.2006 18:04 1.105.693 WindowsUpdate.log
27.11.2006 17:53 32.618 SchedLgU.Txt
27.11.2006 17:53 50 wiaservc.log
27.11.2006 17:53 214 wiadebug.log
27.11.2006 17:47 0 0.log
27.11.2006 17:13 248.652 ntbtlog.txt
27.11.2006 16:38 360 setupact.log
27.11.2006 16:35 0 setuperr.log
16.12.2005 18:55 749 WindowsShell.Manifest
16.12.2005 18:49 0 Sti_Trace.log

------------------

Verzeichnis von C:\WINDOWS\Temp

27.11.2006 15:39 43 removalfile.bat

------------------

22.06.2006 10:41 5.032 swflash.inf

------------------

Verzeichnis von C:\

27.11.2006 18:15 0 sys.txt
27.11.2006 18:14 509 down.txt
27.11.2006 18:14 280 tmp.txt
27.11.2006 18:13 1.563 system.txt
27.11.2006 18:12 136 systemtemp.txt
27.11.2006 18:11 100.397 system32.txt
27.11.2006 17:53 229 boot.ini
27.11.2006 16:38 650 rapport.txt
27.11.2006 15:51 6.824 avenger.txt
27.11.2006 15:45 776 VundoFix.txt
27.11.2006 12:35 9.289 ComboFix.txt
27.11.2006 12:28 10.955 ComboFix2.txt
23.11.2006 19:48 519 hpfr3420.xml
23.11.2006 19:48 34.815 hpfr3420.log
04.10.2006 11:38 16.636 SDSSetup.log
04.10.2006 11:33 3 TCPCheckResult.txt


hoffe ich hab alles richtig hinbekommen ;)



jetzt steck ich im abgesicherten modus fest und hab leider ka... wie ich wieder in den normalen modus wechseln kann ?
Seitenanfang Seitenende
27.11.2006, 19:26
...neu hier

Themenstarter

Beiträge: 2
#8 Bin gerade dabei mit den Avenger-Step durchzuführen, sollte nach dem Smitfraud noch was kommen oder ist das Combofix-Log nur zur Info hier nötig?

Pin0rken - 06-11-27 19:23:02,60 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Pin0rken\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 ))))))))))))))))))))))))))))))))))


2006-11-27 09:40 <DIR> d-------- C:\VundoFix Backups
2006-11-26 22:25 <DIR> d-------- C:\Programme\CleanUp!
2006-11-26 21:49 77,824 --a------ C:\WINDOWS\system32\oebxpba.dll
2006-11-26 21:49 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-26 21:48 <DIR> d-------- C:\Programme\Silver Codec
2006-11-26 19:51 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2006-11-26 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2006-11-26 19:42 <DIR> d-------- C:\Programme\Lavalys
2006-11-26 19:20 3,584 -r-hs---- C:\361101032251829031.exe
2006-11-19 20:02 3,584 -r-hs---- C:\361101032253833093.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-27 09:50 -------- d-------- C:\Programme\eMule
2006-11-26 19:40 -------- d---s---- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Microsoft
2006-10-15 15:33 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Adobe
2006-10-13 15:59 -------- d-------- C:\Programme\eclipse
2006-10-13 15:58 -------- d-------- C:\Programme\Java
2006-10-13 15:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-10-13 15:56 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-13 15:41 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-13 14:43 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Mozilla
2006-10-10 20:12 -------- d-------- C:\Programme\Adobe Type Manager
2006-10-08 16:28 -------- d-------- C:\Programme\Trillian
2006-10-07 00:22 -------- d-------- C:\Programme\Notepad++
2006-10-07 00:01 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\AdobeUM
2006-10-04 09:06 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-04 09:06 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-04 09:06 -------- d-------- C:\Programme\CyberLink
2006-09-30 14:25 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Notepad++
2006-09-25 18:33 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-08-26 12:38 62 --ahs---- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\desktop.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"Adobe Version Cue CS2"="\"C:\\Programme\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\""
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"HPHUPD05"="C:\\Programme\\Hewlett-Packard\\\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\\hphupd05.exe"
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"HP Software Update"="\"C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\""
"HPHmon05"="C:\\WINDOWS\\system32\\hphmon05.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,06,00,00,00,00,00,00,00,04,00,00,00,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{4fc003c3-87a0-489c-85cd-878246eb2d18}"="amaranthaceous"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Silver Codec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\Silver Codec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\HP Usg Daily.job

Completion time: 06-11-27 19:23:44.15
C:\ComboFix.txt ... 06-11-27 19:23


#############################################
Avenger Log
#############################################

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\bo^hsyjg

*******************

Script file located at: \??\C:\haroybcn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\oebxpba.dll deleted successfully.
Folder C:\Programme\Silver Codec deleted successfully.
Folder C:\Programme\Virus-Bursters deleted successfully.


Folder C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp not found!
Deletion of folder C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp
Status: 0xc0000034

Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{4fc003c3-87a0-489c-85cd-878246eb2d18} deleted successfully.


Could not delete registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|amaranthaceous
Deletion of registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|amaranthaceous failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0} failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200} failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200} deleted successfully.
Registry key HKLM\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{4fc003c3-87a0-489c-85cd-878246eb2d18} deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


##################################################
smitfraudfix rapport.text
##################################################

SmitFraudFix v2.125

Scan done at 19:33:51,39, 27.11.2006
Run from C:\Dokumente und Einstellungen\Pin0rken\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pin0rken


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pin0rken\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Pin0rken\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



###############################################
rapport.txt aus dem abgesichertem Modus
###############################################

SmitFraudFix v2.125

Scan done at 19:39:42,76, 27.11.2006
Run from C:\Dokumente und Einstellungen\Pin0rken\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Scheint soweit alles weg zu sein, das einzige Prob was nun noch bleibt, der Teatimer von Spybot fragt mich die ganze Zeit ob ich den zugriff durch das File C:\36110103225490140.exe gestatten oder verhindern möchte.

;) Bis hierher schonmal ein dickes THX von mir.
Dieser Beitrag wurde am 27.11.2006 um 19:52 Uhr von pin0rken editiert.
Seitenanfang Seitenende
28.11.2006, 00:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 fango

deinstalliere im abgsicherten Modus den superantispyware.....

avenger

Zitat

Files to delete:
C:\WINDOWS\system32\qomlijk.dll
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 pin0rken

1.
Avenger

Zitat

Files to delete:
C:\361101032251829031.exe
C:\361101032253833093.exe
2.
mache einen Onlinescan mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 00:47
...neu hier

Beiträge: 8
#11 das ganz sieht nun schon sehr viel besser aus, vielen dank für deine schnelle hilfe ;)


Logfile of HijackThis v1.99.1
Scan saved at 00:44:30, on 28.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [1&1 EasyLogin] "d:\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [d:\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.2.89.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
28.11.2006, 01:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 fango ;)

öffne das HijackThis -- Button "scan" -- vor diesen Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing
mache einen Onlinescan mit panda oder ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 11:47
...neu hier

Beiträge: 8
#13 ohje....ewido hat ja noch ne menge zeug gefunden

Name: Adware.Generic
Path: HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Windows\CurrentVersion\
Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522}
Risk: Medium

Name: Adware.Softomate
Path: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\b116.exe
Risk: Medium

Name: Adware.Softomate
Path: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L4WBP145\116[1].net
Risk: Medium

Name: Adware.PurityScan
Path: C:\QooBox\Purity\Programme\FNTS~1\nîtepad.exe
Risk: Medium

Name: Adware.Agent
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP185\A0042748.dll
Risk: Medium

Name: Adware.Agent
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043301.dll
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043712.exe
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043728.exe
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043744.exe
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043782.exe
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043906.dll
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP187\A0045064.exe
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP187\A0045066.dll
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045130.exe
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045132.dll
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045146.exe
Risk: Medium

Name: Adware.Softomate
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP191\A0045254.exe
Risk: Medium

Name: Adware.PurityScan
Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP191\A0045256.dll
Risk: Medium
Seitenanfang Seitenende
28.11.2006, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 fango

««
Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\b116.exe

Folders to delete:
C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L4WBP145
1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
man kann mit dem onlinscanner auch loeschen lassen - mache das bitte - dann poste den neuen Scanreport, um sicher zu sein, dass auch der Registryeintrag ausgeloescht ist ;)

3.
C:\QooBox\Purity - loeschen + den papierkorb leeren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.11.2006, 13:14
...neu hier

Beiträge: 8
#15 bekomme mit dem avenger eine fehlermeldung


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!



ich mach wohl was falsch ?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: