Insektenbefall auf meinem Rechner ???

#0
07.07.2004, 01:26
...neu hier

Beiträge: 9
#1 Hi
ich habe mir mal just for fun eScan Antivirenprogramm geladen.....und was muss ich feststellen :

File C:\programme\180solutions\msbb.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File c:\programme\180solutions\msbb.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File C:\WINNT\fuvgpml.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\powerscan.exe tagged as not-a-virus:AdvWare.PowerScan.b. No Action Taken.
File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\polall1t.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\preInsTT.exe tagged as not-a-virus:AdvWare.BiSpy.f. No Action Taken.
File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\twaintec.cab tagged as not-a-virus:AdvWare.BiSpy.c. No Action Taken.
File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\wu.exe tagged as not-a-virus:AdvWare.SaveNow.z. No Action Taken.
File C:\Program Files\Internet Optimizer\install.exe infected by "TrojanDownloader.Win32.Dyfuca.cj" Virus. Action Taken: File Deleted.
File C:\Program Files\Internet Optimizer\update\install.exe infected by "TrojanDownloader.Win32.Dyfuca.cj" Virus. Action Taken: File Deleted.
File C:\Programme\180Solutions\FLEOK\msbb.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File C:\Programme\180Solutions\msbb.exe tagged as not-a-virus:AdvWare.180Solutions. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\noni.VIR infected by "TrojanDownloader.Win32.PurityScan.b" Virus. Action Taken: File Deleted.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


So einige Ordner habe ich mit dem Antivir weg bekommen.....andere lassen sich einfach nicht löschen......

Wo sind die spezis von hier....und welche Programme muss ich laden????

Thx Rene
Dieser Beitrag wurde am 07.07.2004 um 01:29 Uhr von X-Factor editiert.
Seitenanfang Seitenende
07.07.2004, 07:52
Member

Beiträge: 18
#2 hast dus im abgesicherten modus probiert?
Seitenanfang Seitenende
07.07.2004, 13:22
...neu hier

Themenstarter

Beiträge: 9
#3 Öh...ich bin ein PC Noob, und bei mir läuft eigentlich alles....nur im Internet die lästigen Popups.....nerven mich an.....

Mein Betriebssystem ist win2000....

Es muss doch irgend ein Proggi geben oder ?
Seitenanfang Seitenende
08.07.2004, 12:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 der escann loescht keine spyware.

1;)
lade das HikackThis
scanne, save und kopiere das Log ins Forum (hier)
http://board.protecus.de/t9391.htm
So koennen wir ganz gezielt die Malware wegbekommen.
2,)
#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade Spybot
http://www.pctip.ch/downloads/dl/25550.asp

Loesche

http://www.kephyr.com/spywarescanner/library/powerscan/index.phtml
http://www.kephyr.com/spywarescanner/library/powerscan/index.phtml
C:\WINNT\fuvgpml.exe

File C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\powerscan.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\polall1t.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\preInsTT.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\wu.exe


http://www.pchell.com/support/twaintec.shtml
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\twaintec.cab

InternetOptimizer
http://www.spyany.com/program/article_spy_rm_Internet_Optimizer.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 12:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 12:39
...neu hier

Themenstarter

Beiträge: 9
#5 Logfile of HijackThis v1.98.0
Scan saved at 12:36:55, on 08.07.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\ofps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\DOKUME~1\HANVER\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\programme\180solutions\msbb.exe
C:\WINNT\System32\odsucv.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\NDrv.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\unzipped\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138308
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138308
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138308
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\System32\NDrv.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem218.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [sewozvebxzquo] C:\WINNT\System32\odsucv.exe
O4 - HKLM\..\Run: [fuvgpml] C:\WINNT\fuvgpml.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ScanSoft Product Registration Reminder] "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NAVBrowser.exe" /r /i "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NavLoad.ini"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [NDrv] C:\WINNT\System32\NDrv.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{124F937C-47CA-444E-9548-A37F7A0D7F95}: NameServer = 195.93.64.134

So da ist die Auswertung...und mir wird übel....
Seitenanfang Seitenende
08.07.2004, 12:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138308
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138308
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138308

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll (file missing)

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\System32\NDrv.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem218.dll (file missing)
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll (file missing)

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)

O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [sewozvebxzquo] C:\WINNT\System32\odsucv.exe
O4 - HKLM\..\Run: [fuvgpml] C:\WINNT\fuvgpml.exe

If you don't want to register Corel products and be reminded about it every 2 weeks disable it
O4 - HKLM\..\Run: [ScanSoft Product Registration Reminder] "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NAVBrowser.exe" /r /i "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NavLoad.ini"

O4 - HKCU\..\Run: [NDrv] C:\WINNT\System32\NDrv.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) -


neustarten


Und mit dem Tools scannen.
#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade Spybot
http://www.pctip.ch/downloads/dl/25550.asp

#Lade Antivirus free...warte den Installscann in aller Ruhe ab...
http://www.free-av.de/
Gehe in den abgesicherten Modus...
http://www.bsi.de/av/texte/winsave.htm
Konfigueriere
<alle Dateien< scanne
<Heuristic hoch<
<Sofort loeschen bei Fund<
Mache einen Vollscann.

normal neustarten

mache noch einmal einen scann mit mwav.exe und poste das Endergebnis...so wissen wir, was dann noch manuell geloescht werden muss.!!!
Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 12:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 12:55
...neu hier

Themenstarter

Beiträge: 9
#7 Hallo habe mir alles geladen was du geschrieben hast bis zu deinem Wort Loesche im ersten Beitrag.......die ordner konnte ich nun löschen .....Ad Ware findet keine angegriffenen Programme mehr.......und der Spybotz hat gerade nochmals zugeschlagen .....sollte es das nun gewesen sein?



Wenn ja, danke!


Logs
__________________________________________________________

Logfile of HijackThis v1.98.0
Scan saved at 12:58:34, on 08.07.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\System32\ofps.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\DOKUME~1\HANVER\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\CTHELPER.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\NDrv.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\System32\NDrv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [sewozvebxzquo] C:\WINNT\System32\odsucv.exe
O4 - HKLM\..\Run: [fuvgpml] C:\WINNT\fuvgpml.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ScanSoft Product Registration Reminder] "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NAVBrowser.exe" /r /i "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NavLoad.ini"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [NDrv] C:\WINNT\System32\NDrv.exe
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{124F937C-47CA-444E-9548-A37F7A0D7F95}: NameServer = 195.93.64.134
Dieser Beitrag wurde am 08.07.2004 um 12:59 Uhr von X-Factor editiert.
Seitenanfang Seitenende
09.07.2004, 21:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 X-Factor

Nun ja, fast....

Fixe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem219.dll (file missing)
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINNT\System32\NDrv.dll...DAS IST BESTIMMT DER PURITAN

O4 - HKLM\..\Run: [sewozvebxzquo] C:\WINNT\System32\odsucv.exe
O4 - HKLM\..\Run: [fuvgpml] C:\WINNT\fuvgpml.exe
O4 - HKLM\..\Run: [ScanSoft Product Registration Reminder] "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NAVBrowser.exe" /r /i "C:\PROGRA~1\ScanSoft\OMNIFO~1.0\EReg\NavLoad.ini"
O4 - HKCU\..\Run: [NDrv] C:\WINNT\System32\NDrv.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

NEUSTARTEN
Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Konfiguriere den Antivirus
\Heuristic hoch
\alle Dateien scannen

#Mache einen Vollscann


#gehe in die Registry
Start\Ausfuehren\regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
loesche \[sewozvebxzquo]
loesche\[fuvgpml]
loesche \[ScanSoft Product Registration Reminder]

HKCU\Microsoft\Windows\CurrentVersion\ Run
loesche [NDrv

schliesse die Registry

#Loesche Powerscann
http://www.pestpatrol.com/PestInfo/p/powerscan.asp
#Loesche Twaintec
http://www.pchell.com/support/twaintec.shtml
#Loesche NDrv.
http://www.mac-net.com/552484.page


loesche
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\wu.exe
C:\programme\180solutions\msbb.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\powerscan.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\preInsTT.exe
C:\Dokumente und Einstellungen\Hanver\Lokale Einstellungen\Temp\THI389B.tmp\twaintec.cab
C:\WINNT\System32\NDrv.exe
C:\WINNT\System32\NDrv.dll.
C:\WINNT\fuvgpml.exe
C:\WINNT\System32\odsucv.exe


#scanne noch einmal mit dem mwav.exe

normal neustarten

Poste mir das Endlog von diesem Scann sowie das Log vom HijackThis noch einmal

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.07.2004 um 21:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: