Search extender & shopping wizard, kann mir bitte jemad helfen

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.10.2004, 14:12
...neu hier

Beiträge: 1
#1 Hi, hab mehrere pakete spyware auf meinem rechner. search extender, shopping wizard etc. hab leider nicht viel ahnung davon, jedesmal wenn ich den computer hochfahre, erscheint ein feld "plug in fehlgeschlagen"???
kann mir bitte jemand helfen?

hänge die Liste mal mit dran.

Danke schonmal im vorraus für den support!

Logfile of HijackThis v1.98.2
Scan saved at 13:35:29, on 18.10.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\DJSNETCN.EXE
C:\WINDOWS\MSOZ32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\T-ONLINE\BSW4\TOADIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\IPBV32.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\DETEMEDIEN\DAS TELEFONBUCH FüR DEUTSCHLAND\OMALARM.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\T-Online\BSW4\ONLINE.EXE
C:\T-ONLINE\BSW4\TODUCALC.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\JAVACA32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\PROGRAMME\T-ONLINE\DIALERSCHUTZ-SOFTWARE\DEFENDER.EXE"
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\Run: [IPBV32.EXE] C:\WINDOWS\SYSTEM\IPBV32.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [MSOZ32.EXE] C:\WINDOWS\MSOZ32.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\ADOBE\Calibration\Adobe Gamma Loader.exe
O4 - Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)
Seitenanfang Seitenende
19.10.2004, 11:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Hans-Gerd.

Troj/WTH-A\Backdoor.Thunker (?)Trojan.Bookmarker.C (?)
http://www.sophos.com/virusinfo/analyses/trojwtha.html
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.thunker.html
http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.c.html
http://www.sophos.com/virusinfo/analyses/trojstartpacr.html

Gehe in die Registry
#loesche folgende Eintraege:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysTime = %SYSTEM%\systime.exe [Troj/StartPa-CR]]

HKCR\CLSID\
loesche:
(3F143C3A-1457-6CCA-03A7-7AA23B61E40F)\
InProcServer32\<Default> = <Path to wthunk32.dll>

HKCR\
loesche:
\CLSID\(3F143C3A-1457-6CCA-03A7-7AA23B61E40F)\
InProcServer32\ThreadingModel = Apartment

HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler\
loesche:
(3F143C3A-1457-6CCA-03A7-7AA23B61E40F) = Advanced Features

HKEY_CURRENT_USER\Software\Classes\
loesche:
CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}

HKEY_CLASSES_ROOT\
loesche:
CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
loesche:
"OLE Automation Module" = "{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
loesche:
{3F143C3A-1457-6CCA-03A7-7AA23B61E40F} = 'DDE Control Module'

HKEY_CURRENT_USER\SOFTWARE\Classes
loesche:
\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32\(Default) = '%System%\mtwirl32.dll'
ThreadingModel = 'Apartment'

#Dann suchst du in der Registry nach.
<{7F1DF9FD-5957-0313-B9F9-EABDB4F680EE}
<JAVACA32.DLL
und loescht ebenfalls alles, was du findest.
____________________________________________________________________________

#Deaktiviere die Wiederherstellung
«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924

oeffne das HijackThis, hake an, was ich schreibe, <fix< und PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\eykpe.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7F1DF9FD-5957-0313-B9F9-EABDB4F680EE} - C:\WINDOWS\JAVACA32.DLL [ TR/Spy.Tofger.BI.2 ?]
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe [Troj/StartPa-CR]
O4 - HKLM\..\Run: [IPBV32.EXE] C:\WINDOWS\SYSTEM\IPBV32.EXE
O4 - HKLM\..\RunServices: [MSOZ32.EXE] C:\WINDOWS\MSOZ32.EXE
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

neustarten

#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINDOWS\JAVACA32.DLL <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINDOWS\SYSTEM\systime.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINDOWS\MSOPT.DLL <PC neustarten

Loesche auch, falls es vorhenden ist:
<C:\wsysc.exe
<Wthunk32.dll
< %System%\Rundll.exe
<%System%\Wsthunk.dll
<%System%\Mtwirl32.dll
<dktibs.exe
<sex.exe

Ueberpruefe, bevor du es loeschst:
<C:\WINDOWS\SYSTEM\IPBV32.EXE [ TR/Spy.Tofger.BI.2 ?]
<C:\WINDOWS\MSOZ32.EXE [ TR/Spy.Tofger.BI.2 ?]
#Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html

Loesche auch:
<CABDialer.cab

#Datentraegerbereinigung
: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
4. ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
5. Markieren Sie dazu einen Eintrag mit der rechten Maustaste, und wählen Sie Eigenschaften aus dem Kontextmenü. ........loesche ActiveX vom Dialer

#AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

Das eScan AV Toolkit (mwav.exe) herunterladen,

http://www.rokop-security.de/board/index.php?showtopic=3867
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Und das neue Log vom HijackThis mit einer neuen Startseite ebenfalls noch mal posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 11:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.01.2006, 22:51
Member

Beiträge: 47
#3 Hi!
Ich habe ebenfalls ein Problem mit dem Program "shopping wizard", das sich
in der Systemsteuerung\Software nicht deinstallieren lässt und auf eine
Internetseite mit Download verweist. Die Datei die man zum deinstallieren
von shopping wizard herunterladen soll, möchte ich zunächst lieber nicht laden,
da ich sobald sich die Internetseite öffnet eine Trojanermeldung von meinem Antivir
bekomme und vermute, dass ein Download der Datei weitaus mehr Probleme mit
sich ziehen wird. Ob sich weitere Malware auf meinem Rechner befindet kann ich
nicht genau sagen, da ich selbst zwar mit Pcs gut umgehen kann, jedoch von
Schädlingsbekämpfung wenig Ahnung habe.

Zur Verfügung stehen mir die Hilfsprogramme Antivir, Ad-Aware SE, Killbox,
CCleaner, eScan und HijackThis.
Antivir und Ad-Aware habe ich bereits durchlaufen lassen, beide haben einige
Dateien finden können, jedoch bin ich sicher das die Platte noch nicht sauber ist!

Mein HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:47:53, on 17.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {3A3263E7-0846-8433-D51F-3B7BA70255FF} - C:\WINDOWS\sdktk.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {A7E109FE-B8A8-EF98-8230-43139563F267} - C:\WINDOWS\apijr.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpyBlocker] C:\Programme\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [javadv32.exe] C:\WINDOWS\javadv32.exe
O4 - HKLM\..\Run: [sdkjq.exe] C:\WINDOWS\sdkjq.exe
O4 - HKLM\..\RunOnce: [mfcaw32.exe] C:\WINDOWS\system32\mfcaw32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137151336765
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysuh32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Da ich lange Schulzeiten habe, bin ich gewöhnlich nur abends online, es hat also
nicht unbedingt Eile mit meinem Rechner!
Danke schonmal im Vorraus,
Mit freundlichen Grüßen
Kai
Seitenanfang Seitenende
18.01.2006, 00:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.01.2006, 22:26
Member

Beiträge: 47
#5 18.01.2006 22:20 4.452 nvapps.xml
18.01.2006 22:00 13.646 wpa.dbl
17.01.2006 22:34 12.394 ieun.exe
13.01.2006 20:55 1.152.160 FNTCACHE.DAT
13.01.2006 10:44 7.006 jupdate-1.5.0_06-b05.log
12.01.2006 13:31 16.832 amcompat.tlb
12.01.2006 13:31 23.392 nscompat.tlb
12.01.2006 13:16 176.167 rmoc3260.dll
12.01.2006 13:16 5.632 pndx5032.dll
12.01.2006 13:16 6.656 pndx5016.dll
12.01.2006 13:16 278.528 pncrt.dll
12.01.2006 11:46 12.621 mfcaw32.exe
09.01.2006 13:47 197.761 dndce.txt
05.01.2006 06:40 20.087 addck32.exe
04.01.2006 19:48 22.854 stub1.ini

04.01.2006 19:46 2.836.320 MRT.exe
03.01.2006 08:03 197.761 faqzh.log
30.12.2005 07:27 3.567 wmbnn.log
29.12.2005 05:12 13.581 qquea.dat
29.12.2005 03:54 280.064 gdi32.dll
28.12.2005 12:33 1.199 logs1.ini
26.12.2005 02:48 22.711 stub2.ini

21.12.2005 15:23 13.226 winmail.scr
21.12.2005 00:04 143 Autoexec.nt
21.12.2005 00:03 63 config.nt
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
13.11.2005 18:02 98.304 CmdLineExt.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll

----------------------------------------

Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\DOKUME~1\razor\LOKALE~1\Temp

18.01.2006 22:23 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}6802.html
18.01.2006 22:21 16.384 ~DF7AC2.tmp
18.01.2006 22:20 512 ~DF7ADD.tmp
18.01.2006 22:20 16.384 ~DF7AD0.tmp
18.01.2006 22:20 16.384 ~DF7AB5.tmp
18.01.2006 22:20 16.384 ~DF7A7F.tmp
18.01.2006 22:20 512 ~DF7A8C.tmp
18.01.2006 22:20 16.384 ~DF7A9A.tmp
18.01.2006 22:20 512 ~DF7AA7.tmp
18.01.2006 22:20 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}26724.html
18.01.2006 22:20 16.384 ~DF88D7.tmp
18.01.2006 22:20 16.384 ~DF70F2.tmp
18.01.2006 22:20 512 ~DF70FF.tmp
18.01.2006 22:10 16.384 ~DFC8.tmp
18.01.2006 22:10 16.384 ~DFE3.tmp
18.01.2006 22:10 16.384 ~DFFE.tmp
18.01.2006 22:10 16.384 ~DFAD.tmp
18.01.2006 22:04 16.384 ~DF82A0.tmp
18.01.2006 22:04 16.384 ~DF7B94.tmp
24.12.2005 15:16 40.448 CmdLineExt03.dll
20 Datei(en) 257.449 Bytes
0 Verzeichnis(se), 6.154.100.736 Bytes frei

--------------------------------

Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS

18.01.2006 22:01 0 0.log
18.01.2006 22:01 679.410 WindowsUpdate.log
18.01.2006 22:01 159 wiadebug.log
18.01.2006 22:01 50 wiaservc.log
18.01.2006 22:00 2.048 bootstat.dat
17.01.2006 23:29 32.176 SchedLgU.Txt
17.01.2006 23:18 127.453 wmsetup.log
17.01.2006 00:55 134.303 sdktk.dll
15.01.2006 20:32 185.586 setupact.log
14.01.2006 05:47 134.303 apijr.dll
14.01.2006 02:50 3.567 ghzac.dat

13.01.2006 18:56 193.293 KB890175.log
13.01.2006 18:56 14.864 KB905749.log
13.01.2006 18:54 95.714 ntdtcsetup.log
13.01.2006 18:54 72.831 iis6.log
13.01.2006 18:54 1.374 imsins.log
13.01.2006 18:54 184.567 tsoc.log
13.01.2006 18:54 28.118 KB899587.log
13.01.2006 18:54 244.771 ocgen.log
13.01.2006 18:54 23.765 msgsocm.log
13.01.2006 18:54 467.720 FaxSetup.log
13.01.2006 18:54 324.289 setupapi.log
13.01.2006 18:54 17.097 updspapi.log
13.01.2006 18:54 1.374 imsins.BAK
13.01.2006 18:54 27.241 KB896422.log
13.01.2006 18:54 27.360 KB901017.log
13.01.2006 18:54 27.680 KB899591.log
13.01.2006 18:54 27.622 KB896424.log
13.01.2006 18:53 27.129 KB893756.log
13.01.2006 18:53 26.041 KB896423.log
13.01.2006 18:53 26.709 KB896358.log
13.01.2006 18:53 21.452 KB910437.log
13.01.2006 18:53 29.092 KB905915.log
13.01.2006 18:53 27.362 KB902400.log
13.01.2006 18:52 31.724 KB893066.log
13.01.2006 18:52 18.458 KB905414.log
13.01.2006 18:52 17.703 KB901214.log
13.01.2006 18:52 17.723 KB900725.log
13.01.2006 18:52 14.243 KB904706.log
13.01.2006 18:52 13.719 KB896428.log
13.01.2006 18:51 14.546 KB894391.log
13.01.2006 18:51 12.008 KB908519.log
13.01.2006 13:53 11.753 KB893803v2.log
13.01.2006 13:53 8.609 KB898461.log
13.01.2006 12:12 863 win.ini
13.01.2006 12:09 876 ARCHPR.INI
13.01.2006 11:32 11.434 ModemLog_Motorola USB Modem.txt
13.01.2006 11:32 2.423 NewRecorder.reg
12.01.2006 13:31 466 wmsetup10.log
12.01.2006 13:30 316.640 WMSysPr9.prx
12.01.2006 13:14 23.166 stub3.ini
12.01.2006 13:14 20.087 sdkjq.exe
11.01.2006 19:11 1.773 wincmd.ini
11.01.2006 11:00 13.581 ywyla.txt
09.01.2006 13:47 22.854 stub1.ini
09.01.2006 04:33 0 logs2.ini
08.01.2006 21:59 11.895 sdkhz32.exe
08.01.2006 12:31 197.756 argpx.log
08.01.2006 04:12 20.087 ieuh32.exe

07.01.2006 06:18 14.277 KB893086.log
07.01.2006 06:18 18.722 KB890046.log
04.01.2006 19:48 159.167 comsetup.log
04.01.2006 14:26 20.087 atlkt32.exe
04.01.2006 02:23 11.053 DirectX.log
04.01.2006 00:50 733 CoD.INI
03.01.2006 16:24 13 scode7.cfg
03.01.2006 16:23 796.672 GPInstall.exe
03.01.2006 09:05 550 eReg.dat
03.01.2006 08:03 23.246 stub4.ini
02.01.2006 08:38 21.306 ocmsn.log
30.12.2005 18:16 3.567 oykgs.dat

30.12.2005 14:03 1.174 OEWABLog.txt
30.12.2005 14:03 21 CS_setup.ini
30.12.2005 14:03 2.904 COM+.log
30.12.2005 14:03 15.059 KB912919.log
30.12.2005 14:03 7.430 mozver.dat
30.12.2005 14:03 22.711 stub2.ini
30.12.2005 14:03 65.978 Seifenblase.bmp
30.12.2005 14:03 18 ssetup.ini
30.12.2005 14:03 6.466 KB886185.log
29.12.2005 06:54 23.500 stub5.ini
29.12.2005 04:13 13.581 ojwtr.dat
28.12.2005 06:45 20.087 ipfa.exe
26.12.2005 08:23 20.087 javafl32.exe
25.12.2005 08:39 12.621 apiqs.exe
21.12.2005 17:20 23.619 stub6.ini

21.12.2005 15:23 13.226 winmail.SCR.scr
21.12.2005 01:17 1.199 logs1.ini
08.12.2005 20:08 225 videodeLuxe.INI
01.12.2005 17:41 192 winamp.ini
30.11.2005 20:36 952.630 Firefox Wallpaper.bmp
14.11.2005 16:29 7.452 ModemLog_Motorola USB Modem #2.txt
14.11.2005 16:23 8.192 Thumbs.db

---------------------------

Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\

18.01.2006 22:26 0 sys.txt
18.01.2006 22:26 11.986 system.txt
18.01.2006 22:24 1.311 systemtemp.txt
18.01.2006 22:22 107.615 system32.txt
18.01.2006 22:00 805.306.368 pagefile.sys
22.11.2005 15:50 415.970 VideoEditor.log
25.10.2005 12:08 6 AVPCallback.log
23.10.2005 15:09 983 sys 1.txt
23.10.2005 15:09 9.170 system 1.txt
29.09.2005 13:25 0 DBS.TXT
06.02.2005 18:02 211 boot.ini


Edit: Anmerkung: Ich erhalte bei der aktivierung jeglicher Links eine Trojanerwarnung durch mein Antivirenprogramm. Das Problem tritt nicht auf wenn ich Seiten über Firefox öffne (Links öffnen sich bei mir durch den Inet-expl.)!
Dieser Beitrag wurde am 18.01.2006 um 23:31 Uhr von razor_89 editiert.
Seitenanfang Seitenende
19.01.2006, 02:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 razor_89

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res*//C:\WINDOWS\system32\lyqpj.dll/sp.html#53142%resultposition.net

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {3A3263E7-0846-8433-D51F-3B7BA70255FF} - C:\WINDOWS\sdktk.dll
O2 - BHO: Class - {A7E109FE-B8A8-EF98-8230-43139563F267} - C:\WINDOWS\apijr.dll

O4 - HKLM\..\Run: [javadv32.exe] C:\WINDOWS\javadv32.exe
O4 - HKLM\..\Run: [sdkjq.exe] C:\WINDOWS\sdkjq.exe
O4 - HKLM\..\RunOnce: [mfcaw32.exe] C:\WINDOWS\system32\mfcaw32.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysuh32.exe (file missing)

-------------------------------------------------------------------------------

KILLBOX
http://virus-protect.net/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\ieun.exe
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\mfcaw32.exe
C:\WINDOWS\system32\dndce.txt
C:\WINDOWS\system32\addck32.exe
C:\WINDOWS\system32\stub1.ini
C:\WINDOWS\system32\faqzh.log
C:\WINDOWS\system32\lyqpj.dll
C:\WINDOWS\system32\wmbnn.log
C:\WINDOWS\system32\qquea.dat
C:\WINDOWS\system32\logs1.ini
C:\WINDOWS\system32\stub2.ini

C:\WINDOWS\sdktk.dll
C:\WINDOWS\apijr.dll
C:\WINDOWS\ghzac.dat
C:\WINDOWS\stub3.ini
C:\WINDOWS\sdkjq.exe
C:\WINDOWS\ywyla.txt
C:\WINDOWS\stub1.ini
C:\WINDOWS\logs2.ini
C:\WINDOWS\sdkhz32.exe
C:\WINDOWS\argpx.log
C:\WINDOWS\ieuh32.exe
C:\WINDOWS\atlkt32.exe
C:\WINDOWS\stub4.ini
C:\WINDOWS\ocmsn.log
C:\WINDOWS\oykgs.dat
C:\WINDOWS\OEWABLog.txt
C:\WINDOWS\CS_setup.ini
C:\WINDOWS\COM+.log
C:\WINDOWS\KB912919.log
C:\WINDOWS\mozver.dat
C:\WINDOWS\stub2.ini
C:\WINDOWS\Seifenblase.bmp
C:\WINDOWS\ssetup.ini
C:\WINDOWS\KB886185.log
C:\WINDOWS\stub5.ini
C:\WINDOWS\ojwtr.dat
C:\WINDOWS\ipfa.exe
C:\WINDOWS\javafl32.exe
C:\WINDOWS\javadv32.exe
C:\WINDOWS\apiqs.exe
C:\WINDOWS\stub6.ini
C:\WINDOWS\logs1.ini

PC neustarten

Counterspy
http://virus-protect.org/counterspy.html
- Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

ADSSpy.exe --> kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.01.2006, 15:48
Member

Beiträge: 47
#7 Counterspy lässt sich leider nicht updaten, da hierfür der Lizenscode
eingegeben werden muss. Soll ich trotzdem fortfahren oder lieber einen
anderen Scanner benutzen?
MfG Kai
Seitenanfang Seitenende
20.01.2006, 16:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Counterspy ist 30 Tage free, kannst du das Tool nicht aktivieren, ohne den Lizenzschluessel, oder hattest du es schon mal geladen?

ADSSpy.exe --> kopiere hier den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe

scanne mit kaspersky und berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.01.2006, 19:38
Member

Beiträge: 47
#9 Hatte das Tool schonmal geladen. Habe einfach trotzdem gescannt ohne Upgedatet zu haben.


Spyware Scan Details
Start Date: 20.01.2006 15:46:14
End Date: 20.01.2006 16:49:01
Total Time: 1 hrs 2 mins 47 secs

Detected spyware

iOpus STARR Commercial Key Logger more information...
Details: STARR allows companies and individuals to track the use of PCs easily and invisibly. It logs keystrokes, user names, passwords, path names, access times, windows titles, both sides of a chat conversation for most popular chat software, AOL content and vis
Status: Deleted

Infected files detected
C:\MAGIX\video_deLuxe_2005_e-version\ZIPDLL.DLL


BearShare P2P more information...
Details: BearShare is a file sharing network. The free version installs a number of known spyware and adware programs.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 H:\Andere\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 H:\Andere\Bearshare\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR H:\Andere\Bearshare\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 H:\Andere\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR H:\Andere\Bearshare\
HKEY_LOCAL_MACHINE\software\classes\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library


Weatherbug Low Risk Adware more information...
Details: Minibug is an adware that displays ads on to your computer.
Status: Deleted

Infected files detected
C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c}
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c}\TypeLib {3C2D2A1E-031F-4397-9614-87C932A848E0}
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} IMiniBugTransporterX
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1\CLSID {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 MiniBugTransporterX Class
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx\CLSID {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx\CurVer MiniBugTransporter.MiniBugTransporterX.1
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx MiniBugTransporterX Class
HKEY_CLASSES_ROOT\typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0}
HKEY_CLASSES_ROOT\typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0}\1.0\0\win32 C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll
HKEY_CLASSES_ROOT\typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0}\1.0\HELPDIR C:\Programme\Gemeinsame Dateien\Real\WeatherBug\
HKEY_CLASSES_ROOT\typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0}\1.0 MiniBugTransporter 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\InprocServer32 C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus\1 132497
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\MiscStatus 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ProgID MiniBugTransporter.MiniBugTransporterX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\ToolboxBitmap32 C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll, 101
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\TypeLib {3C2D2A1E-031F-4397-9614-87C932A848E0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}\VersionIndependentProgID MiniBugTransporter.MiniBugTransporterX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} MiniBugTransporterX Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX.1\CLSID {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX.1 MiniBugTransporterX Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX\CLSID {2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX\CurVer MiniBugTransporter.MiniBugTransporterX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MiniBugTransporter.MiniBugTransporterX MiniBugTransporterX Class
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\InprocServer32 C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\MiscStatus\1 132497
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\MiscStatus 0
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\ProgID MiniBugTransporter.MiniBugTransporterX.1
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\ToolboxBitmap32 C:\Programme\Gemeinsame Dateien\Real\WeatherBug\MiniBugTransporter.dll, 101
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\TypeLib {3C2D2A1E-031F-4397-9614-87C932A848E0}
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\Version 1.0
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c}\VersionIndependentProgID MiniBugTransporter.MiniBugTransporterX
HKEY_CLASSES_ROOT\clsid\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} MiniBugTransporterX Class


WhenU.SaveNow Adware more information...
Details: an advertising application that displays pop-up advertising on the desktop in response to users' surfing behavior.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver
HKEY_LOCAL_MACHINE\software\classes\runmsc.loader\curver RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\whenusave
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE Partner EEPE0404
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE InstallTime 20051129204525
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE PartnerDesc BearShare
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE PartnerFile H:\Andere\Bearshare\BearShare.exe
HKEY_LOCAL_MACHINE\software\whenusave db_script_update 1002700830
HKEY_LOCAL_MACHINE\software\whenusave InstallDir C:\Programme\Save
HKEY_LOCAL_MACHINE\software\whenusave pats_url http://akapp.whenu.com/OffersDataGZ
HKEY_LOCAL_MACHINE\software\whenusave pat_chunks_url http://akapp.whenu.com/DataChunksGZ
HKEY_LOCAL_MACHINE\software\whenusave script_url http://app.whenu.com/Throttle?name=save-script12032005
HKEY_LOCAL_MACHINE\software\whenusave update_url http://akdwl.whenu.com/throttle/saveupdate.exe
HKEY_LOCAL_MACHINE\software\whenusave ver_url http://www.whenu.com/versions.html
HKEY_LOCAL_MACHINE\software\whenusave Version 2.90
HKEY_LOCAL_MACHINE\software\whenusave extra_url http://app.whenu.com/Throttle?name=saveupdate_3.50
HKEY_LOCAL_MACHINE\software\whenusave extraver_url http://spweb.whenu.com/extraver.html
HKEY_LOCAL_MACHINE\software\whenusave ziptomsa_url http://spapp.whenu.com/ziptomsa
HKEY_LOCAL_MACHINE\software\whenusave InstallTime 20051129204525
HKEY_LOCAL_MACHINE\software\whenusave LastPartner
HKEY_LOCAL_MACHINE\software\whenusave TotalPartner 2
HKEY_LOCAL_MACHINE\software\whenusave newuser_rs Y
HKEY_LOCAL_MACHINE\software\whenusave Partner EEPE0404
HKEY_LOCAL_MACHINE\software\whenusave PartnerB EEPE
HKEY_LOCAL_MACHINE\software\whenusave PartnerDesc BearShare
HKEY_LOCAL_MACHINE\software\whenusave city Berlin
HKEY_LOCAL_MACHINE\software\whenusave country DE
HKEY_LOCAL_MACHINE\software\whenusave FullDBTime 18889636
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatTime 1135348178968
HKEY_LOCAL_MACHINE\software\whenusave brandskin_url http://spweb.whenu.com/skin/
HKEY_LOCAL_MACHINE\software\whenusave brandstrip_rs 24
HKEY_LOCAL_MACHINE\software\whenusave brandstrip_url http://spweb.whenu.com/save_brand3.html
HKEY_LOCAL_MACHINE\software\whenusave bstat_rs Y
HKEY_LOCAL_MACHINE\software\whenusave himp_url http://spweb.whenu.com/himp/himp.db
HKEY_LOCAL_MACHINE\software\whenusave iptomsa_url http://app.whenu.com/Location
HKEY_LOCAL_MACHINE\software\whenusave maxPopups_rs 2
HKEY_LOCAL_MACHINE\software\whenusave timedDBUpdate_rs Y
HKEY_LOCAL_MACHINE\software\whenusave uninstalltag_rs O
HKEY_LOCAL_MACHINE\software\whenusave db_stamp_rs 20051224070036
HKEY_LOCAL_MACHINE\software\whenusave db_server_update 20051224070036
HKEY_LOCAL_MACHINE\software\whenusave MSA CDE,I3402,R32
HKEY_LOCAL_MACHINE\software\whenusave db_local_update 20051129220936
HKEY_LOCAL_MACHINE\software\whenusave SystemParam_rs dt=WhenU Save;q=;i=1
HKEY_LOCAL_MACHINE\software\whenusave zip
HKEY_LOCAL_MACHINE\software\whenusave acm_rs 1.02
HKEY_LOCAL_MACHINE\software\whenusave TotalPopup 32;18922935;;;43501;4;4;83;298;298
HKEY_LOCAL_MACHINE\software\whenusave src_url http://spweb.whenu.com/pop_up/
HKEY_LOCAL_MACHINE\software\whenusave IPToMsaTime_rs 20051130060435
HKEY_LOCAL_MACHINE\software\whenusave country_old_rs DE
HKEY_LOCAL_MACHINE\software\whenusave city_old_rs Berlin
HKEY_LOCAL_MACHINE\software\whenusave db_ver_update 20051208183718
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatCount 8
HKEY_LOCAL_MACHINE\software\whenusave UrlChangeCount 1
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE Partner EEPE0404
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE InstallTime 20051129204525
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE PartnerDesc BearShare
HKEY_LOCAL_MACHINE\software\whenusave\Partners\EEPE PartnerFile H:\Andere\Bearshare\BearShare.exe
HKEY_LOCAL_MACHINE\software\whenusave InstallDir C:\Programme\Save
HKEY_LOCAL_MACHINE\software\whenusave pats_url http://akapp.whenu.com/OffersDataGZ
HKEY_LOCAL_MACHINE\software\whenusave pat_chunks_url http://akapp.whenu.com/DataChunksGZ
HKEY_LOCAL_MACHINE\software\whenusave script_url http://app.whenu.com/Throttle?name=save-script12032005
HKEY_LOCAL_MACHINE\software\whenusave Version 2.90
HKEY_LOCAL_MACHINE\software\whenusave extra_url http://app.whenu.com/Throttle?name=saveupdate_3.50
HKEY_LOCAL_MACHINE\software\whenusave InstallTime 20051129204525
HKEY_LOCAL_MACHINE\software\whenusave LastPartner
HKEY_LOCAL_MACHINE\software\whenusave TotalPartner 2
HKEY_LOCAL_MACHINE\software\whenusave newuser_rs Y
HKEY_LOCAL_MACHINE\software\whenusave Partner EEPE0404
HKEY_LOCAL_MACHINE\software\whenusave PartnerB EEPE
HKEY_LOCAL_MACHINE\software\whenusave PartnerDesc BearShare
HKEY_LOCAL_MACHINE\software\whenusave city Berlin
HKEY_LOCAL_MACHINE\software\whenusave country DE
HKEY_LOCAL_MACHINE\software\whenusave FullDBTime 18889636
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatTime 1135348178968
HKEY_LOCAL_MACHINE\software\whenusave bstat_rs Y
HKEY_LOCAL_MACHINE\software\whenusave iptomsa_url http://app.whenu.com/Location
HKEY_LOCAL_MACHINE\software\whenusave maxPopups_rs 2
HKEY_LOCAL_MACHINE\software\whenusave timedDBUpdate_rs Y
HKEY_LOCAL_MACHINE\software\whenusave uninstalltag_rs O
HKEY_LOCAL_MACHINE\software\whenusave MSA CDE,I3402,R32
HKEY_LOCAL_MACHINE\software\whenusave SystemParam_rs dt=WhenU Save;q=;i=1
HKEY_LOCAL_MACHINE\software\whenusave TotalPopup 32;18922935;;;43501;4;4;83;298;298
HKEY_LOCAL_MACHINE\software\whenusave IPToMsaTime_rs 20051130060435
HKEY_LOCAL_MACHINE\software\whenusave country_old_rs DE
HKEY_LOCAL_MACHINE\software\whenusave city_old_rs Berlin
HKEY_LOCAL_MACHINE\software\whenusave HeartbeatCount 8
HKEY_LOCAL_MACHINE\software\whenusave UrlChangeCount 1
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\software\classes\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 H:\Andere\Bearshare\RunMSC.dll
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_LOCAL_MACHINE\software\classes\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave msa
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave iptomsatime_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave heartbeattime
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave himp_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave db_server_update
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave db_stamp_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandskin_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandstrip_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave brandstrip_url
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave timeddbupdate_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave uninstalltag_rs
HKEY_LOCAL_MACHINE\SOFTWARE\WhenUSave urlchangecount
HKEY_CLASSES_ROOT\ACM.ACMFactory
HKEY_CLASSES_ROOT\ACM.ACMFactory\CLSID {A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\ACM.ACMFactory\CurVer ACM.ACMFactory.1
HKEY_CLASSES_ROOT\ACM.ACMFactory ACMFactory Class
HKEY_CLASSES_ROOT\ACM.ACMFactory.1
HKEY_CLASSES_ROOT\ACM.ACMFactory.1\CLSID {A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\ACM.ACMFactory.1 ACMFactory Class
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32 C:\Programme\Save\ACM.dll
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\ProgID ACM.ACMFactory.1
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\TypeLib {DF901432-1B9F-4F5B-9E56-301C553F9095}
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD}\VersionIndependentProgID ACM.ACMFactory
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} ACMFactory Class
HKEY_CLASSES_ROOT\clsid\{A9AAE1AB-9688-42C5-86F5-C12F6B9015AD} AppID {127DF9B4-D75D-44A6-AF78-8C3A8CEB03DB}


CWS.NS3 Browser Hijacker more information...
Details: This is a CoolWebSearch hijacker.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
HKEY_LOCAL_MACHINE\software\classes\clsid\{676575dd-4d46-911d-8037-9b10d6ee8bb5}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa DisplayName Home Search Assistent
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\hsa UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/HomeSearchAssistant.html"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se DisplayName Search Extender
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\se UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw DisplayName Shopping Wizard
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\sw UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"


Looking-For.Home Search Assistant Browser Modifier more information...
Details: Home Search Assistant is an Internet Explorer browser helper object that was recently identified by the SpyNet community; research is currently under way to further identify its risks.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW DisplayName Shopping Wizard


CWS.AboutBlank Browser Hijacker more information...
Details: This is a CoolWebSearch hijacker.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/HomeSearchAssistant.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/SearchExtender.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW UninstallString rundll32 url.dll,FileProtocolHandler "http://looking-for.cc/uninstall/ShoppingWizard.html"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW DisplayName Shopping Wizard


Mediaplex.com Cookie more information...
Details: Cookie used to track cross site advertising with the Mediaplex and value Click advertising companies.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\razor\cookies\razor@mediaplex[1].txt

ADSSpyscan und kasperskyscan folgen sofort

edit -->

C:\WINDOWS\CoD.INI : thndip (12621 bytes)
C:\WINDOWS\comsetup.log : eifjcr (20087 bytes)
C:\WINDOWS\DirectX.log : pkitzm (13581 bytes)
C:\WINDOWS\eReg.dat : zdtmvz (3567 bytes)
C:\WINDOWS\KB890046.log : nklcc (134303 bytes)
C:\WINDOWS\KB890175.log : olfxhh (12621 bytes)
C:\WINDOWS\KB893086.log : qlwvr (20087 bytes)
C:\WINDOWS\KB905749.log : uzfpkk (134303 bytes)
C:\WINDOWS\ModemLog_Motorola USB Modem.txt : dnseg (20087 bytes)
C:\WINDOWS\NewRecorder.reg : zkwgq (134303 bytes)
Dieser Beitrag wurde am 20.01.2006 um 19:44 Uhr von razor_89 editiert.
Seitenanfang Seitenende
21.01.2006, 00:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 razor_89

- loesche (deleted) mit ADSSpys alle Streams

- Deaktivieren Wiederherstellung XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

- Laden: SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt--> hier kopieren

Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe
kopiere den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.01.2006, 03:48
Member

Beiträge: 47
#11 Kasperskylogfile! Streams sind gelöscht, smitfiles.txt folgt später nach
edit: Beim öffnen des smitrem Ordners erhalte ich jedes mal eine Warnung
durch mein Antivirenprogramm! Nachdem das blaue Fenster verschwunden ist,
fängt der Rechner an zu berechnen wieviel Speicherplatz auf den Partitionen
freigegeben werden kann! Ich vermute, dass für dieses Programm die Platte
zu voll ist. Weiter passiert nichts.
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, January 21, 2006 03:43:36
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 20/01/2006
Kaspersky Anti-Virus database records: 161616
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Scan Statistics:
Total number of scanned objects: 166632
Number of viruses found: 2
Number of infected objects: 21
Number of suspicious objects: 0
Duration of the scan process: 5583 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP7\A0000573.reg:zkwgq:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP7\A0000859.reg:zkwgq:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000860.reg:zkwgq:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000872.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000873.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000874.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000877.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000879.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000888.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{5BB21F85-A136-448B-8F05-055BDF9F9215}\RP8\A0000898.exe Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\CoD.INI:thndip:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\KB890046.log:nklcc:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\WINDOWS\KB890175.log:olfxhh:$DATA Infected: Trojan.Win32.Agent.bi
C:\WINDOWS\KB905749.log:uzfpkk:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
C:\WINDOWS\NewRecorder.reg:zkwgq:$DATA Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060117-220141-433.dll Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060117-220901-793.dll Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060117-220902-910.dll Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060117-221654-665.dll Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060119-231547-255.dll Infected: Trojan-Downloader.Win32.Agent.bc
D:\Programme\Hijackthis\backups\backup-20060119-231547-710.dll Infected: Trojan-Downloader.Win32.Agent.bc

Scan process completed.

edit:
Fixwareout ist durchgelaufen, scanreport ist jedoch sehr knapp!
Hoffe dassses geklappt hat!

Fixwareout ver 1.003
Last edited 1/12/2006
Post this report in the forums please

Reg Entries that were deleted

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool




Smitfiles.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 2780 'explorer.exe'
Killing PID 2780 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)
Dieser Beitrag wurde am 21.01.2006 um 10:04 Uhr von razor_89 editiert.
Seitenanfang Seitenende
21.01.2006, 10:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du hast praktisch nichts ausgefuehrt, was ich geschrieben hatte:

- Deaktivieren Wiederherstellung XP

Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren

mit ADSSpys diese Streams loeschen !!!!!!!!!!!

C:\WINDOWS\CoD.INI : thndip (12621 bytes)
C:\WINDOWS\comsetup.log : eifjcr (20087 bytes)
C:\WINDOWS\DirectX.log : pkitzm (13581 bytes)
C:\WINDOWS\eReg.dat : zdtmvz (3567 bytes)
C:\WINDOWS\KB890046.log : nklcc (134303 bytes)
C:\WINDOWS\KB890175.log : olfxhh (12621 bytes)
C:\WINDOWS\KB893086.log : qlwvr (20087 bytes)
C:\WINDOWS\KB905749.log : uzfpkk (134303 bytes)
C:\WINDOWS\NewRecorder.reg : zkwgq (134303 bytes)

---------------------------------------------------------------------
http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.01.2006, 23:39
Member

Beiträge: 47
#13 Tut mir leid wenn ich was falsch gemacht hab, aber ich habe meines Wissens
wie angewiesen mit ADSSpy die Streams gelöscht und danach die Systemwiederherstellung deaktiviert!
Wenn ich jetzt ADSSpy erneut laufen lasse, werden keine Streams mehr gefunden ich kann also in Folge dessen auch nichts mehr löschen...

Das Logfile von Kaspersky habe ich natürlich vorher gepostet, da du es bei einer
vorherigen Anweisung angefordert hattest. Anschließend bin ich genau deinen
Anweisungen gefolgt! (ADSSpy smitrem etc)

Des Weiteren habe ich Smitrem geladen und ausgeführt und Fixwareout durchlaufen
lassen. Bei Smitrem (wie oben beschrieben) war ich mir nicht sicher alles korrekt
gemacht zu haben, da außer dem Versuch Speicherplatz freizugeben nichts
passiert ist. Ich fand jedoch unter C:\ die gesuchte Smitfiles.txt und habe sie
hier gepostet.

Ich gehe jetzt mal davon aus, das ich wie oben beschrieben weitermachen soll,
da jedoch die Streams bereits gelöscht sind kann ich dies nicht erneut tun!
Ich werde also zum nächsten Punkt springen und Mcafee ausführen

MfG Kai
Seitenanfang Seitenende
22.01.2006, 00:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ich denke, dass du editiert hast...denn nun lese ich, dass alles korrekt ausgefuhrt wurde ;)

Zitat

Ich werde also zum nächsten Punkt springen und Mcafee ausführen
einverstanden ;)

wichtig ist, dass du noch mal mit kaspersky scannst, denn es scheint, dass er noch streams gefunden hat...die dann manuell geloescht werden muessten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.01.2006, 11:30
Member

Beiträge: 47
#15 Ja, ich editiere so gut wie jeden meiner Einträge, da ich meist die Scanlogs nicht
alle auf einmal beschaffen kann. Den letzten wie oben zu lesen gestern,
[edit: ich meinte den Vorletzten]
(Dieser Beitrag wurde am 21.01.2006 um 10:04 Uhr von razor_89 editiert).
Deine antwort erfolgte um 10:56. Vielleicht sollte ich die Antworten von jetzt an
immer erst dann posten, wenn ich alle Scanlogs beisammen habe, da es sonst
unnötig zu missverständnissen kommt, was ich, denke ich mal, im Sinne von keinem
von uns liegt. Ich will mich nebenbei auch nochmal bedanken, da es sicher nicht
selbstverständlich ist, das sich jemand mit so viel Zeitaufwand um user kümmert die
im Netz nach Hilfe für ihre Probleme suchen.
Wenn ich editiere kennzeichne ich dies immer am Anfang mit "edit:" oder etwas
ähnlichem und zudem setze ich neue Texte immer unter das bereits dagewesene.
Ein letztes editieren wird folgen, da ich die Scanlogs von Mcafee und Kaspersky
noch nicht habe.

Ich bitte noch einmal das Missverständnis zu entschuldigen, das wohl auf meinem
Mist gewachsen ist, und hoffe das es von jetzt an Reibungslos weitergeht.

MfG Kai
Seitenanfang Seitenende