Infizierung durch Virus Busters

Home » Spyware & Browser Hijacker Support Forum » Infizierung durch Virus Busters » Themenansicht

Seite(n): 1 2

Antworten

Infizierung durch Virus Busters Thema ist geschlossen!
Thema ist geschlossen!
27.11.2006, 09:50 pin0rken ...neu hier Beiträge: 2	#1 Hab seit gestern Abend ohne Ende Probs mit meinem Sys dank Virus Busters. Hier mal der HiJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 09:49:21, on 27.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Silver Codec\pmmon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\hphmon05.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Silver Codec\pmsngr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Pin0rken\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{996BCA2D-BC75-440D-BFB0-7E8FBE8622ED}: NameServer = 192.168.0.1 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe THX schon einmal für den Support...

27.11.2006, 12:30 Sabina Ehrenmitglied Beiträge: 29434	#2 pin0rken 1. poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete: HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\|{4fc003c3-87a0-489c-85cd-878246eb2d18} HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\|amaranthaceous HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\|isamonitor.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\|pmsngr.exe registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200} HKLM\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200} HKLM\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec HKLM\SOFTWARE\Classes\CLSID\{4fc003c3-87a0-489c-85cd-878246eb2d18} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters Files to delete: C:\WINDOWS\system32\oebxpba.dll Folders to delete: C:\Programme\Silver Codec C:\Programme\Virus-Bursters C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~nsu.tmp Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit

27.11.2006, 13:28 fango ...neu hier Beiträge: 8	#3 hallo, leider hats mich auch mit dem virus buster erwischt, bitte um hilfe. Logfile of HijackThis v1.99.1 Scan saved at 12:58:10, on 27.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\1&1\1&1 EasyLogin\EasyLogin.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Eraser\eraser.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\WINDOWS\system32\wuauclt.exe D:\Downloads\Neues Verzeichnis\Neuer Ordner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus-online.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: (no name) - {CA7F75BD-CF50-9A8A-7F91-C79EFC4157E8} - C:\WINDOWS\system32\fvux.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvpap.dll,startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [1&1 EasyLogin] "d:\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [Iact] "C:\DOKUME~1\Tom\ANWEND~1\SEMBLY~1\cmd.exe" -vt tzt O4 - HKCU\..\Run: [d:\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE O4 - HKCU\..\Run: [Acb] C:\Programme\F?nts\n?tepad.exe O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.2.89.cab O21 - SSODL: boucicault - {0bad5052-665d-40d4-a9bd-a2891eaafb42} - C:\WINDOWS\system32\fmrmhc.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe --------------------------- Tom - 06-11-27 12:34:18.32 Service Pack 2 ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Tom\Desktop" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\ismini.exe C:\WINDOWS\system32\issearch.exe C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe C:\Programme\Safety Bar C:\WINDOWS\system32\components ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\cmd.exe C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0000 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0001 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0002 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0003 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0004 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0005 C:\QooBox\Purity\Programme\FNTS~1 C:\QooBox\Purity\Programme\FNTS~1\Neu Textdokument.txt C:\QooBox\Purity\Programme\FNTS~1\n?tepad.exe ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\cmd.exe C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0000 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0001 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0002 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0003 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0004 C:\QooBox\Purity\Dokumente und Einstellungen\Tom\Anwendungsdaten\SEMBLY~1\??sembly\ctxad-503.0005 C:\QooBox\Purity\Programme\FNTS~1 C:\QooBox\Purity\Programme\FNTS~1\Neu Textdokument.txt C:\QooBox\Purity\Programme\FNTS~1\n?tepad.exe ((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 )))))))))))))))))))))))))))))))))) No new files created in this timespan (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-27 12:27 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-11-26 21:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-11-25 18:51 -------- d-------- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\dvdcss 2006-11-10 11:46 -------- d-------- C:\Programme\Java 2006-11-06 11:43 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-11-05 13:18 -------- d-------- C:\Programme\Google 2006-10-28 16:30 -------- d-------- C:\Programme\Windows Media Player 2006-10-05 17:35 -------- d---s---- C:\Dokumente und Einstellungen\Tom\Anwendungsdaten\Microsoft 2006-10-05 16:20 -------- d-------- C:\Programme\Gemeinsame Dateien\ACD Systems 2006-10-04 11:53 -------- d-------- C:\Programme\Telefonbuch Mnchen 2006_2007 2006-10-04 11:33 -------- d-------- C:\Programme\Symbian 2006-10-04 11:33 -------- d-------- C:\Programme\Siemens Data Suite SX1 2006-10-04 11:33 -------- d-------- C:\Programme\Intuwave 2006-10-04 11:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Siemens AG Shared 2006-10-04 11:29 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2006-09-28 13:18 -------- d-------- C:\Programme\EQ2MAP Updater (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) Note empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "1&1 EasyLogin"="\"d:\\1&1\\1&1 EasyLogin\\EasyLogin.exe\" HIDE" "Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup" "Iact"="\"C:\\DOKUME~1\\Tom\\ANWEND~1\\SEMBLY~1\\cmd.exe\" -vt tzt" "d:\\1&1\\1&1 EasyLogin\\EasyLogin.exe"="\"1&1 EasyLogin\" HIDE" "Acb"="C:\\Programme\\F?nts\\n?tepad.exe" "Eraser"="C:\\Programme\\Eraser\\eraser.exe -hide" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "AVMWlanClient"="C:\\Programme\\avmwlanstick\\wlangui.exe" "SoundMan"="SOUNDMAN.EXE" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "mRouterConfig for Siemens Data Suite SX1"="C:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterConfig.exe" "CTDrive"="rundll32.exe C:\\WINDOWS\\system32\\drvpap.dll,startup" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{0bad5052-665d-40d4-a9bd-a2891eaafb42}"="boucicault" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{9B0C7A02-A17A-4C81-BD7D-30A622701C36}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=hex:91,00,00,00 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "boucicault"="{0bad5052-665d-40d4-a9bd-a2891eaafb42}" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhfgf HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklm HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1138560988.job Completion time: 06-11-27 12:35:56.95 C:\ComboFix.txt ... 06-11-27 12:35 C:\ComboFix2.txt ... 06-11-27 12:28

27.11.2006, 13:30 Sabina Ehrenmitglied Beiträge: 29434	#4 fango stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit

27.11.2006, 14:15 fango ...neu hier Beiträge: 8	#5 Verzeichnis von C:\WINDOWS\system32 27.11.2006 13:54 603.816 mlkkj.ini 27.11.2006 12:53 380.350 perfh009.dat 27.11.2006 12:53 391.000 perfh007.dat 27.11.2006 12:53 52.764 perfc009.dat 27.11.2006 12:53 63.580 perfc007.dat 27.11.2006 12:53 897.954 PerfStringBackup.INI 27.11.2006 12:49 63.062 nvapps.xml 27.11.2006 12:49 2.422 wpa.dbl 27.11.2006 00:26 71.168 drvpap.dll 27.11.2006 00:26 40.973 cbxyayx.dll 26.11.2006 23:50 40.973 wvursqq.dll 26.11.2006 23:35 2 wcpsvsu.exe 26.11.2006 23:35 40.973 jkkhfgf.dll 26.11.2006 20:04 77.824 fmrmhc.dll 26.11.2006 20:04 4.286 ot.ico 26.11.2006 20:04 38.420 gmkwblni.dll 26.11.2006 20:04 588.502 mlkkj.bak1 26.11.2006 20:03 708.660 jkklm.dll 26.11.2006 19:58 71.168 drvpuv.dll 26.11.2006 19:58 40.973 fccdcaw.dll 26.11.2006 19:58 17.408 winexz32.dll 10.11.2006 11:46 8.891 jupdate-1.5.0_09-b03.log 07.11.2006 17:38 10.342.824 MRT.exe 28.10.2006 16:30 16.832 amcompat.tlb 28.10.2006 16:30 23.392 nscompat.tlb 25.10.2006 14:17 131.072 fvux.dll 12.10.2006 03:10 127.078 javaws.exe 12.10.2006 03:10 49.265 jpicpl32.cpl 12.10.2006 01:35 53.346 javaw.exe 12.10.2006 01:35 49.248 java.exe ------------- Verzeichnis von C:\DOKUME~1\Tom\LOKALE~1\Temp 27.11.2006 12:54 346 jusched.log 27.11.2006 12:49 16.384 ~DF9633.tmp 27.11.2006 12:49 16.384 ~DFF61B.tmp 27.11.2006 12:49 512 ~DFF64C.tmp 27.11.2006 12:46 16.384 ~DF7ED7.tmp 27.11.2006 12:46 16.384 ~DF4DEB.tmp ---------------- Verzeichnis von C:\WINDOWS 27.11.2006 12:49 0 0.log 27.11.2006 12:49 159 wiadebug.log 27.11.2006 12:49 2.096.800 WindowsUpdate.log 27.11.2006 12:49 50 wiaservc.log 27.11.2006 12:49 2.048 bootstat.dat 27.11.2006 12:48 32.618 SchedLgU.Txt 26.11.2006 21:21 73.712 setupapi.log 25.11.2006 16:21 21.504 jestertb.dll 28.10.2006 16:54 23.562 wmsetup.log 28.10.2006 16:31 461 wmsetup10.log 28.10.2006 16:30 654 win.ini 10.10.2006 14:16 449 Mp3Settings.INI 05.10.2006 18:52 2.198 wsm2006.ini 04.10.2006 14:22 40 SDSScheduler.INI 04.10.2006 14:22 376 SchedulerSettings.INI 04.10.2006 11:52 57 start.INI 04.10.2006 11:43 90 PicturesSettings.INI ----------------- Verzeichnis von C:\WINDOWS\Temp 27.11.2006 13:53 0 win8.tmp 27.11.2006 13:31 0 win7.tmp 27.11.2006 13:09 0 win6.tmp 27.11.2006 13:07 0 win5.tmp 27.11.2006 13:05 0 win4.tmp 27.11.2006 13:03 0 win3.tmp 27.11.2006 13:01 0 win2.tmp 27.11.2006 12:46 0 winB5.tmp 27.11.2006 12:46 0 winB4.tmp 27.11.2006 12:44 0 winB2.tmp 27.11.2006 12:44 0 winB3.tmp 27.11.2006 12:40 0 winB1.tmp 27.11.2006 12:38 0 winB0.tmp 27.11.2006 12:36 0 winAF.tmp --------------------- Verzeichnis von C:\WINDOWS\Downloaded Program Files 22.06.2006 10:41 5.032 swflash.inf --------------------- Verzeichnis von C:\ 27.11.2006 14:11 0 sys.txt 27.11.2006 14:10 509 down.txt 27.11.2006 14:10 878 tmp.txt 27.11.2006 14:09 8.330 system.txt 27.11.2006 14:07 535 systemtemp.txt 27.11.2006 14:05 100.788 system32.txt 27.11.2006 12:35 9.289 ComboFix.txt 27.11.2006 12:28 10.955 ComboFix2.txt 23.11.2006 19:48 519 hpfr3420.xml 23.11.2006 19:48 34.815 hpfr3420.log 04.10.2006 11:38 16.636 SDSSetup.log 04.10.2006 11:33 3 TCPCheckResult.txt

27.11.2006, 15:26 Sabina Ehrenmitglied Beiträge: 29434	#6 fango scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete: HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\|boucicault HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\|{0bad5052-665d-40d4-a9bd-a2891eaafb42} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\|CTDrive registry keys to delete: HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhfgf HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkklm HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winexz32 HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42} Files to delete: C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe C:\WINDOWS\system32\mlkkj.ini C:\WINDOWS\system32\drvpap.dll C:\WINDOWS\system32\cbxyayx.dll C:\WINDOWS\system32\wvursqq.dll C:\WINDOWS\system32\wcpsvsu.exe C:\WINDOWS\system32\jkkhfgf.dll C:\WINDOWS\system32\fmrmhc.dll C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\gmkwblni.dll C:\WINDOWS\system32\mlkkj.bak1 C:\WINDOWS\system32\jkklm.dll C:\WINDOWS\system32\drvpuv.dll C:\WINDOWS\system32\fccdcaw.dll C:\WINDOWS\system32\winexz32.dll C:\WINDOWS\system32\fvux.dll Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {CA7F75BD-CF50-9A8A-7F91-C79EFC4157E8} - C:\WINDOWS\system32\fvux.dll O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll (file missing) O4 - HKCU\..\Run: [Iact] "C:\DOKUME~1\Tom\ANWEND~1\SEMBLY~1\cmd.exe" -vt tzt O4 - HKCU\..\Run: [Acb] C:\Programme\F?nts\n?tepad.exe «« Klicke: Start -Ausfuehren- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\. /f klicke "enter" schreibe Y --------------------------------------------------------------- «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html »» scanne mit superantispyware - poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html «« poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit

27.11.2006, 18:23 fango ...neu hier Beiträge: 8	#7 SUPERAntiSpyware Scan Log Generated 11/27/2006 at 05:46 PM Application Version : 3.3.1020 Core Rules Database Version : 3135 Trace Rules Database Version: 1152 Scan type : Complete Scan Total Scan Time : 00:02:37 Memory items scanned : 440 Memory Thread detected : 4 Registry items scanned : 4835 Registry Thread detected : 10 File items scanned : 2402 File Thread detected : 4 Trojan.Update-Mcboo C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\UPDATE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\UPDATE.EXE Trojan.Hacktool C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\SYSTEM.DLL C:\PROGRAMME\GEMEINSAME DATEIEN\{409A8B89-072E-1031-1012-040705040031}\SYSTEM.DLL Adware.ClickSpring-Variant C:\WINDOWS\SYSTEM32\KHN.DLL C:\WINDOWS\SYSTEM32\KHN.DLL Adware.Toolbar888 C:\PROGRA~1\GEMEIN~1\{309A8~1\888BAR.DLL C:\PROGRA~1\GEMEIN~1\{309A8~1\888BAR.DLL Unclassified.Unknown Origin HKLM\Software\Classes\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4} HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4} HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\InprocServer32 HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\InprocServer32#ThreadingModel HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\Programmable HKCR\CLSID\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4}\TypeLib HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4} HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#{77BF24B9-CB0C-96DB-2E24-CCCE69C8BCB4} HKCR\TypeLib\{B59B726B-F11D-928E-0DCF-E3F63CE4423D} Adware.Avenue Media/Internet Optimizer HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Internet Explorer\URLSearchHooks#_{CFBFAE00-17A6-11D0-99CB-00C04FD64497} nachdem ich im abgesicherten modus noch einmal gescannt habe hat er nochmal 3 fehler gefunden SUPERAntiSpyware Scan Log Generated 11/27/2006 at 06:04 PM Application Version : 3.3.1020 Core Rules Database Version : 0 Trace Rules Database Version: 0 Scan type : Quick Scan Total Scan Time : 00:07:29 Memory items scanned : 158 Memory Thread detected : 0 Registry items scanned : 600 Registry Thread detected : 0 File items scanned : 9628 File Thread detected : 3 Adware.ClickSpring C:\QOOBOX\PURITY\DOKUMENTE UND EINSTELLUNGEN\TOM\ANWENDUNGSDATEN\SEMBLY~1\CMD.EXE C:\QooBox\Purity\Programme\FNTS~1\NTEPAD~1.EXE Adware.ClickSpring/Yazzle C:\WINDOWS\PREFETCH\YAZZLE1162OINADMIN.EXE-16F62D22.PF nochmal die 6 logs : Verzeichnis von C:\WINDOWS\system32 27.11.2006 17:51 380.350 perfh009.dat 27.11.2006 17:51 391.000 perfh007.dat 27.11.2006 17:51 52.764 perfc009.dat 27.11.2006 17:51 63.580 perfc007.dat 27.11.2006 17:51 897.954 PerfStringBackup.INI 27.11.2006 17:47 63.062 nvapps.xml 27.11.2006 17:47 2.422 wpa.dbl 27.11.2006 16:38 0 tmp.txt 27.11.2006 16:38 2.254 tmp.reg 27.11.2006 15:39 40.973 qomlijk.dll 10.11.2006 11:46 8.891 jupdate-1.5.0_09-b03.log 07.11.2006 17:38 10.342.824 MRT.exe 28.10.2006 16:30 23.392 nscompat.tlb 28.10.2006 16:30 16.832 amcompat.tlb 12.10.2006 03:10 127.078 javaws.exe 12.10.2006 03:10 49.265 jpicpl32.cpl 12.10.2006 01:35 53.346 javaw.exe 12.10.2006 01:35 49.248 java.exe ------------------- Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp ------------------- Verzeichnis von C:\WINDOWS 27.11.2006 18:05 2.048 bootstat.dat 27.11.2006 18:04 1.105.693 WindowsUpdate.log 27.11.2006 17:53 32.618 SchedLgU.Txt 27.11.2006 17:53 50 wiaservc.log 27.11.2006 17:53 214 wiadebug.log 27.11.2006 17:47 0 0.log 27.11.2006 17:13 248.652 ntbtlog.txt 27.11.2006 16:38 360 setupact.log 27.11.2006 16:35 0 setuperr.log 16.12.2005 18:55 749 WindowsShell.Manifest 16.12.2005 18:49 0 Sti_Trace.log ------------------ Verzeichnis von C:\WINDOWS\Temp 27.11.2006 15:39 43 removalfile.bat ------------------ 22.06.2006 10:41 5.032 swflash.inf ------------------ Verzeichnis von C:\ 27.11.2006 18:15 0 sys.txt 27.11.2006 18:14 509 down.txt 27.11.2006 18:14 280 tmp.txt 27.11.2006 18:13 1.563 system.txt 27.11.2006 18:12 136 systemtemp.txt 27.11.2006 18:11 100.397 system32.txt 27.11.2006 17:53 229 boot.ini 27.11.2006 16:38 650 rapport.txt 27.11.2006 15:51 6.824 avenger.txt 27.11.2006 15:45 776 VundoFix.txt 27.11.2006 12:35 9.289 ComboFix.txt 27.11.2006 12:28 10.955 ComboFix2.txt 23.11.2006 19:48 519 hpfr3420.xml 23.11.2006 19:48 34.815 hpfr3420.log 04.10.2006 11:38 16.636 SDSSetup.log 04.10.2006 11:33 3 TCPCheckResult.txt hoffe ich hab alles richtig hinbekommen jetzt steck ich im abgesicherten modus fest und hab leider ka... wie ich wieder in den normalen modus wechseln kann ?

27.11.2006, 19:26 pin0rken ...neu hier Themenstarter Beiträge: 2	#8 Bin gerade dabei mit den Avenger-Step durchzuführen, sollte nach dem Smitfraud noch was kommen oder ist das Combofix-Log nur zur Info hier nötig? Pin0rken - 06-11-27 19:23:02,60 Service Pack 2 ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Pin0rken\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-10-27 to 2006-11-27 )))))))))))))))))))))))))))))))))) 2006-11-27 09:40 <DIR> d-------- C:\VundoFix Backups 2006-11-26 22:25 <DIR> d-------- C:\Programme\CleanUp! 2006-11-26 21:49 77,824 --a------ C:\WINDOWS\system32\oebxpba.dll 2006-11-26 21:49 <DIR> d-------- C:\Programme\Virus-Bursters 2006-11-26 21:48 <DIR> d-------- C:\Programme\Silver Codec 2006-11-26 19:51 <DIR> d-------- C:\Programme\Spybot - Search & Destroy 2006-11-26 19:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2006-11-26 19:42 <DIR> d-------- C:\Programme\Lavalys 2006-11-26 19:20 3,584 -r-hs---- C:\361101032251829031.exe 2006-11-19 20:02 3,584 -r-hs---- C:\361101032253833093.exe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-27 09:50 -------- d-------- C:\Programme\eMule 2006-11-26 19:40 -------- d---s---- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Microsoft 2006-10-15 15:33 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Adobe 2006-10-13 15:59 -------- d-------- C:\Programme\eclipse 2006-10-13 15:58 -------- d-------- C:\Programme\Java 2006-10-13 15:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Java 2006-10-13 15:56 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-10-13 15:41 -------- d-------- C:\Programme\Mozilla Firefox 2006-10-13 14:43 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Mozilla 2006-10-10 20:12 -------- d-------- C:\Programme\Adobe Type Manager 2006-10-08 16:28 -------- d-------- C:\Programme\Trillian 2006-10-07 00:22 -------- d-------- C:\Programme\Notepad++ 2006-10-07 00:01 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\AdobeUM 2006-10-04 09:06 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-10-04 09:06 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2006-10-04 09:06 -------- d-------- C:\Programme\CyberLink 2006-09-30 14:25 -------- d-------- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\Notepad++ 2006-09-25 18:33 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe 2006-08-26 12:38 62 --ahs---- C:\Dokumente und Einstellungen\Pin0rken\Anwendungsdaten\desktop.ini (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) Note empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "Adobe Version Cue CS2"="\"C:\\Programme\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\"" "Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\"" @="" "HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe" "HPHUPD05"="C:\\Programme\\Hewlett-Packard\\\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\\hphupd05.exe" "HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\"" "HP Software Update"="\"C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\"" "HPHmon05"="C:\\WINDOWS\\system32\\hphmon05.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,06,00,00,00,00,00,00,00,04,00,00,00,04,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{4fc003c3-87a0-489c-85cd-878246eb2d18}"="amaranthaceous" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] "isamonitor.exe"="C:\\Programme\\Silver Codec\\isamonitor.exe" "pmsngr.exe"="C:\\Programme\\Silver Codec\\pmsngr.exe" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\HP Usg Daily.job Completion time: 06-11-27 19:23:44.15 C:\ComboFix.txt ... 06-11-27 19:23 ############################################# Avenger Log ############################################# Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\bo^hsyjg ***************** Script file located at: \??\C:\haroybcn.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger *************** Beginning to process script file: File C:\WINDOWS\system32\oebxpba.dll deleted successfully. Folder C:\Programme\Silver Codec deleted successfully. Folder C:\Programme\Virus-Bursters deleted successfully. Folder C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp not found! Deletion of folder C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp failed! Could not process line: C:\Dokumente und Einstellungen\Pin0rken\Lokale Einstellungen\Temp\~nsu.tmp Status: 0xc0000034 Registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler\|{4fc003c3-87a0-489c-85cd-878246eb2d18} deleted successfully. Could not delete registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\|amaranthaceous Deletion of registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload\|amaranthaceous failed! Status: 0xc0000034 Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\|isamonitor.exe deleted successfully. Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\|pmsngr.exe deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0} not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200} not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ae18da4e-be15-4925-81bb-890c04af0200} failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{ae18da4e-be15-4925-81bb-890c04af0200} deleted successfully. Registry key HKLM\SOFTWARE\Classes\CLSID\{96ebbe6a-2864-4345-b32b-26ee9be524b5} deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006 deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03 deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec failed! Status: 0xc0000034 Registry key HKLM\SOFTWARE\Classes\CLSID\{4fc003c3-87a0-489c-85cd-878246eb2d18} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters failed! Status: 0xc0000034 Completed script processing. ***************** Finished! Terminate. ################################################## smitfraudfix rapport.text ################################################## SmitFraudFix v2.125 Scan done at 19:33:51,39, 27.11.2006 Run from C:\Dokumente und Einstellungen\Pin0rken\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pin0rken »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Pin0rken\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Pin0rken\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End ############################################### rapport.txt aus dem abgesichertem Modus ############################################### SmitFraudFix v2.125 Scan done at 19:39:42,76, 27.11.2006 Run from C:\Dokumente und Einstellungen\Pin0rken\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Scheint soweit alles weg zu sein, das einzige Prob was nun noch bleibt, der Teatimer von Spybot fragt mich die ganze Zeit ob ich den zugriff durch das File C:\36110103225490140.exe gestatten oder verhindern möchte. Bis hierher schonmal ein dickes THX von mir. Dieser Beitrag wurde am 27.11.2006 um 19:52 Uhr von pin0rken editiert.

28.11.2006, 00:10 Sabina Ehrenmitglied Beiträge: 29434	#9 fango deinstalliere im abgsicherten Modus den superantispyware..... avenger Zitat Files to delete: C:\WINDOWS\system32\qomlijk.dll poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit

28.11.2006, 00:13 Sabina Ehrenmitglied Beiträge: 29434	#10 pin0rken 1. Avenger Zitat Files to delete: C:\361101032251829031.exe C:\361101032253833093.exe 2. mache einen Onlinescan mit panda oder ewido und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit

28.11.2006, 00:47 fango ...neu hier Beiträge: 8	#11 das ganz sieht nun schon sehr viel besser aus, vielen dank für deine schnelle hilfe Logfile of HijackThis v1.99.1 Scan saved at 00:44:30, on 28.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\avmwlanstick\wlangui.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\1&1\1&1 EasyLogin\EasyLogin.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\SIEMEN~1\SDS\SPHONE~2.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Tom\LOKALE~1\Temp\Rar$EX00.688\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [1&1 EasyLogin] "d:\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE O4 - HKCU\..\Run: [d:\1&1\1&1 EasyLogin\EasyLogin.exe] "1&1 EasyLogin" HIDE O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.2.89.cab O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

28.11.2006, 01:01 Sabina Ehrenmitglied Beiträge: 29434	#12 fango öffne das HijackThis -- Button "scan" -- vor diesen Eintrage Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - Default URLSearchHook is missing mache einen Onlinescan mit panda oder ewido und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit

28.11.2006, 11:47 fango ...neu hier Beiträge: 8	#13 ohje....ewido hat ja noch ne menge zeug gefunden Name: Adware.Generic Path: HKU\S-1-5-21-220523388-1292428093-725345543-1004\Software\Microsoft\Windows\CurrentVersion\ Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522} Risk: Medium Name: Adware.Softomate Path: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\b116.exe Risk: Medium Name: Adware.Softomate Path: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L4WBP145\116[1].net Risk: Medium Name: Adware.PurityScan Path: C:\QooBox\Purity\Programme\FNTS~1\nîtepad.exe Risk: Medium Name: Adware.Agent Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP185\A0042748.dll Risk: Medium Name: Adware.Agent Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043301.dll Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043712.exe Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043728.exe Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043744.exe Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043782.exe Risk: Medium Name: Adware.PurityScan Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP186\A0043906.dll Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP187\A0045064.exe Risk: Medium Name: Adware.PurityScan Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP187\A0045066.dll Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045130.exe Risk: Medium Name: Adware.PurityScan Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045132.dll Risk: Medium Name: Adware.PurityScan Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP189\A0045146.exe Risk: Medium Name: Adware.Softomate Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP191\A0045254.exe Risk: Medium Name: Adware.PurityScan Path: C:\System Volume Information\_restore{E7C82156-DEFF-4CE5-9105-F39C6482343D}\RP191\A0045256.dll Risk: Medium

28.11.2006, 12:55 Sabina Ehrenmitglied Beiträge: 29434	#14 fango «« Avenger Zitat Files to delete: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temp\b116.exe Folders to delete: C:\Dokumente und Einstellungen\Tom\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L4WBP145 1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 2. man kann mit dem onlinscanner auch loeschen lassen - mache das bitte - dann poste den neuen Scanreport, um sicher zu sein, dass auch der Registryeintrag ausgeloescht ist 3. C:\QooBox\Purity - loeschen + den papierkorb leeren __________ MfG Sabina rund um die PC-Sicherheit

28.11.2006, 13:14 fango ...neu hier Beiträge: 8	#15 bekomme mit dem avenger eine fehlermeldung ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! ich mach wohl was falsch ?

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2