kann mir jemand mit w32/jeefo helfen?

#0
08.12.2004, 11:12
...neu hier

Beiträge: 2
#1 hallo leute,

kann mir vielleicht jemand helfen den virus w32/jeefo loszuwerden? hier ist mein hijack this log:

Logfile of HijackThis v1.98.2
Scan saved at 11:00:12, on 08.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOOLS\Norton Antivirus\navapsvc.exe
C:\Programme\TOOLS\Norton Antivirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\MULTIMEDIA\Realplayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\INTERNET\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Hilgers\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\TOOLS\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\TOOLS\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\TOOLS\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\MULTIMEDIA\Realplayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [RegKillElbyCheck] "C:\Programme\MULTIMEDIA\DVD Region Killer\ElbyCheck.exe" /L RegKill
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\TOOLS\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "c:\programme\internet\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\games\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\INTERNET\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDED89BE-AF07-4056-92D8-2B6BB08D2B37}: NameServer = 195.50.140.250 145.253.2.81

schon mal vielen dank!
Seitenanfang Seitenende
08.12.2004, 12:12
Member

Beiträge: 69
#2 Hallo Akira21,

wo hat NAV den Virus denn gefunden? Und was hat "es" damit gemacht?

Hier fehlt dringend ein Update:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
08.12.2004, 14:07
...neu hier

Themenstarter

Beiträge: 2
#3 hallo brainbox,

ich glaub ich hab das problem schon so gelösst... der nav hat den virus unter svchost.exe im windir gefunden. das hab ich rausgeschmissen, und seitdem scheint wieder alles zu funktionieren...

akira21
Seitenanfang Seitenende
08.12.2004, 19:39
Member

Beiträge: 69
#4 Wahrscheinlich ist Dein Problem nur solange gelöst wie Dein Rechner läuft. Nach einem Neustart wird der Virus wahrscheinlich wieder da sein. Folgenden, schon etwas älteren Thread solltest Du Dir mal in Ruhe durchlesen. Dann erst wirst Du den Schädling wirklich los sein.
http://board.protecus.de/t5857.htm

Und auch noch mal der Hinweis auf Dein UNGEPATCHTES System. Wenn Du weiter ohne ein Update surfst bist Du schnell wieder hier.

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Dieser Beitrag wurde am 08.12.2004 um 19:42 Uhr von brainbox editiert.
Seitenanfang Seitenende
03.12.2005, 15:45
...neu hier

Beiträge: 2
#5 Erstmal Hallo an alle,

Ich hatte meinen PC vor c.a. 2 monaten formatiert weil ich einfach zu viel sch.... drauf hatte, nun habe ich dann auch antivir drauf gehabt jedoch hat es sich nach ner zeit deaktivirt ich also neue ComputerBild geholt und nochmal neu installiert klappte auch alles schön und gut.....bis antivir auf einmal in einem zug durch nur meldungen von .exe dateinen von sich gab die mit W32/Jeefo infiziert waren und nun weiss ich nich wie ich den wieder los werde.

ich hoffe ihr könnt mir helfen hier ist mein Hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 15:44:27, on 03.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\COPUTE~1\LOKALE~1\Temp\Rar$EX00.157\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich würd mich über eure hilfe sehr freuen....gruß Karioka
Seitenanfang Seitenende
03.12.2005, 18:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Karioka

das ist der Uebeltaeter:
C:\WINDOWS\svchost.exe

wende CleanUp an
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (3 Monate reichen)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 20:20
...neu hier

Beiträge: 10
#7 hi bin neu hier im board hab auch diesen w32/jeefo

also ich kenn mich net so aus mit hijack this könntet ihr bitte mal mein logfile analisieren?

Logfile of HijackThis v1.98.0
Scan saved at 20:08:01, on 22.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\WallMaster\wallmast.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\K-Lite Codec Pack\Media Player Classic\mplayerc.exe
C:\Programme\Mozilla Firefox 2 Beta 2\firefox.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll (file missing)
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: No-IP DUC.lnk = C:\Programme\No-IP\DUC20.exe
O4 - Startup: WallMaster Pro.lnk = C:\Programme\WallMaster\wallmast.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4AEC8FE-E3D1-4A2B-BA4B-33C6385CD61F}: NameServer = 192.168.2.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

danke
Seitenanfang Seitenende
22.11.2006, 21:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 hackme

poste bitte dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 22:20
...neu hier

Beiträge: 10
#9 ok hier das log:


Besitzer - 06-11-22 22:05:27.92 Service Pack 2
ComboFix 06.11.22 - Running from: "D:\"

((((((((((((((((((((((((((((((( Files Created from 2006-10-22 to 2006-11-22 ))))))))))))))))))))))))))))))))))


2006-11-21 06:52 <DIR> d--hs---- C:\Config.Msi
2006-11-21 06:52 <DIR> d-------- C:\Programme\Softwin
2006-11-21 06:51 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin
2006-11-21 06:46 13,817,440 --a------ C:\bitdefender_free_v8.exe
2006-11-20 19:48 1,867,906 --a------ C:\WINDOWS\system32\eMule44b-v16-webcache.exe
2006-11-19 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Contacts
2006-11-19 15:08 <DIR> d-------- C:\Programme\MSN Messenger
2006-11-19 15:01 16,330,024 --a------ C:\Install_Messenger.exe
2006-11-18 14:49 <DIR> d-------- C:\Programme\Cain
2006-11-17 20:34 49 --a------ C:\WINDOWS\system32\sysconf.bat
2006-11-17 17:16 240 --a------ C:\WINDOWS\system32\del32.bat
2006-11-17 17:16 1,044,989 --a------ C:\WINDOWS\system32\Fight9.exe
2006-11-16 21:26 <DIR> d-------- C:\Programme\No-IP
2006-11-16 15:33 <DIR> d-------- C:\Programme\DynDNS Updater
2006-11-16 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Kana Solution
2006-11-15 19:10 122,880 --a------ C:\WINDOWS\UnGins.exe
2006-11-13 19:35 52,736 --a------ C:\lbzgl1.exe
2006-11-13 18:53 100,864 --a------ C:\lbz3d.exe
2006-11-13 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2006-11-11 14:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Besitzer\InstallAnywhere
2006-11-11 14:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia Shared
2006-11-11 14:00 <DIR> d-------- C:\WINDOWS\system32\QuickTime
2006-11-11 13:52 <DIR> d-------- C:\Programme\Macromedia
2006-11-11 13:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-11-10 20:15 <DIR> d-------- C:\Programme\WoW-1.12.0-deDE-Installer
2006-11-05 11:38 421,488 --a------ C:\WINDOWS\system32\kbdcache.dll
2006-11-04 20:01 1,663,036 --a------ C:\WINDOWS\system32\incom_.exe
2006-11-04 17:50 <DIR> d-------- C:\Temp
2006-11-04 17:47 <DIR> d-------- C:\Program Files
2006-11-04 17:46 <DIR> d-------- C:\Programme\ICQLite
2006-11-04 17:46 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQLite
2006-11-04 01:40 1,581,056 --a------ C:\line-rider.exe
2006-11-03 20:49 <DIR> d-------- C:\Programme\NeoTracePro
2006-11-03 19:48 <DIR> d-------- C:\Programme\WinPcap
2006-11-03 19:17 <DIR> d-------- C:\Programme\Accessdiver
2006-10-30 00:51 <DIR> d-------- C:\Florian
2006-10-29 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2006-10-29 15:02 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-29 15:02 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-29 15:01 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-29 15:01 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-22 22:06 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Azureus
2006-11-22 22:03 -------- d-------- C:\Programme\Mozilla Firefox 2 Beta 2
2006-11-22 21:55 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Xfire
2006-11-21 22:48 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-21 18:50 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2006-11-21 06:51 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-20 21:40 3734 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\wklnhst.dat
2006-11-19 15:09 -------- d---s---- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft
2006-11-18 22:35 -------- d-------- C:\Programme\eMule.de
2006-11-18 16:37 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\foobar2000
2006-11-18 04:38 -------- d---s---- C:\Programme\Xfire
2006-11-16 20:41 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Hamachi
2006-11-16 17:55 -------- d-------- C:\Programme\teamspeak2_RC2
2006-11-13 12:06 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia
2006-11-11 14:07 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-29 15:09 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-29 15:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-24 10:04 -------- d-------- C:\Programme\ReflexiveArcade
2006-10-24 10:04 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Wildfire
2006-10-20 20:10 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-19 19:28 -------- d-------- C:\Programme\Picture It! Premium 10
2006-10-17 19:19 53299 --a------ C:\WINDOWS\system32\pthreadVC.dll
2006-10-17 19:16 233472 --a------ C:\WINDOWS\system32\wpcap.dll
2006-10-17 19:15 81920 --a------ C:\WINDOWS\system32\Packet.dll
2006-10-17 19:14 61440 --a------ C:\WINDOWS\system32\WanPacket.dll
2006-10-17 19:09 35072 --a------ C:\WINDOWS\system32\drivers\npf.sys
2006-10-16 17:14 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Ahead
2006-10-14 00:28 -------- d-------- C:\Programme\ZoneAlarm
2006-10-13 18:36 -------- d-------- C:\Programme\FileZilla
2006-10-09 20:28 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\dvdcss
2006-10-07 11:50 -------- d-------- C:\Programme\WinRAR
2006-10-04 15:27 -------- d-------- C:\Programme\Winamp
2006-10-04 15:14 15440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-09-28 17:47 -------- d-------- C:\Programme\Gemeinsame Dateien\NSV
2006-09-28 17:43 -------- d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\vlc
2006-09-28 17:31 -------- d-------- C:\Programme\VLC
2006-08-23 22:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Logitech Utility"="Logi_MwX.Exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"Zone Labs Client"="\"C:\\Programme\\ZoneAlarm\\zlclient.exe\""
"CHotkey"="mHotkey.exe"
"Profiler"="C:\\Programme\\Saitek\\Software\\ProfilerU.exe"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"BDMCon"="\"C:\\Programme\\Softwin\\BitDefender8\\bdmcon.exe\""
"BDNewsAgent"="\"c:\\programme\\softwin\\bitdefender8\\bdnagent.exe\""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~4\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Besitzer^Startmenü^Programme^Autostart^wkcalrem.LNK]
"path"="C:\\Dokumente und Einstellungen\\Besitzer\\Startmenü\\Programme\\Autostart\\wkcalrem.LNK"
"backup"="C:\\WINDOWS\\pss\\wkcalrem.LNKStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\MICROS~1\\WORKSS~1\\WkCalRem.exe "
"item"="wkcalrem"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TrayIcon"
"hkey"="HKLM"
"command"="C:\\Programme\\AGEIA Technologies\\TrayIcon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Dit"
"hkey"="HKLM"
"command"="Dit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="isuspm"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ledpointer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CNYHKey"
"hkey"="HKLM"
"command"="CNYHKey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCMService"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiMfd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiMfd"
"hkey"="HKLM"
"command"="C:\\Programme\\Saitek\\Software\\SaiMfd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Verknüpfung mit der High Definition Audio-Eigenschaftenseite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HDAudPropShortcut"
"hkey"="HKLM"
"command"="HDAudPropShortcut.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VVSN]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VVSN"
"hkey"="HKLM"
"command"="C:\\Programme\\VVSN\\VVSN.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Themes"=dword:00000002
"O&O Defrag"=dword:00000002
"NVSvc"=dword:00000002
"WinVNC4"=dword:00000002
"WZCSVC"=dword:00000002
"wuauserv"=dword:00000002
"TapiSrv"=dword:00000003
"rpcapd"=dword:00000003
"RDSessMgr"=dword:00000003
"mnmsrvc"=dword:00000003
"Macromedia Licensing Service"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Completion time: 06-11-22 22:07:22.25
C:\ComboFix.txt ... 06-11-22 22:07


und hier die andern:


29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei



29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei


29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei


29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei


29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei


29.06.2004 09:31 185.344 HijackThis.exe
10 Datei(en) 151.542.395 Bytes
0 Verzeichnis(se), 26.459.041.792 Bytes frei


so ich hoffe ich habe das mit dem letzen log richtig gemacht....irritiert mich ein bischen das da immer das gleiche drinn steht

mfg
Seitenanfang Seitenende
22.11.2006, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 hackme

auf c:\ entpacken und anwenden

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.11.2006, 22:46
...neu hier

Beiträge: 10
#11 ah habs auf D:\ entpackt ^^


21.11.2006 20:10 54.112 vsconfig.xml
21.11.2006 20:10 63.142 nvapps.xml
21.11.2006 20:10 68.967 OODBS.lor
21.11.2006 14:35 1.227 x_dtrace_log
21.11.2006 07:05 0 00B03540_kds.xml
20.11.2006 19:49 7.419 ckl009.dat
20.11.2006 19:48 240 del32.bat
20.11.2006 19:48 1.867.906 eMule44b-v16-webcache.exe
19.11.2006 21:13 1.044.989 Fight9.exe
17.11.2006 20:34 49 sysconf.bat
17.11.2006 15:30 0 FlashPaper2PrinterPort
15.11.2006 22:37 2.206 wpa.dbl
12.11.2006 09:52 220.040 FNTCACHE.DAT
05.11.2006 11:44 421.488 kbdcache.dll
04.11.2006 20:01 1.663.036 incom_.exe
29.10.2006 09:03 405.118 perfh007.dat
29.10.2006 09:03 392.296 perfh009.dat
29.10.2006 09:03 58.596 perfc009.dat
29.10.2006 09:03 70.580 perfc007.dat
29.10.2006 09:03 938.224 PerfStringBackup.INI
17.10.2006 19:19 53.299 pthreadVC.dll
17.10.2006 19:16 233.472 wpcap.dll
17.10.2006 19:15 81.920 Packet.dll
17.10.2006 19:14 61.440 WanPacket.dll
27.09.2006 20:32 2.066 SaiC5F0D-FC67A03A-A74E-4424-836D-1244E105106D.pr0
27.09.2006 18:43 4.212 zllictbl.dat
03.09.2006 12:39 77 everest_cpl.ini
23.08.2006 22:38 42.920 vsutil_loc0407.dll
23.08.2006 22:38 392.824 vsdatant.sys
23.08.2006 22:38 83.960 zlcomm.dll
23.08.2006 22:38 71.672 zlcommdb.dll
23.08.2006 22:38 440.312 vsutil.dll
23.08.2006 22:38 59.384 vswmi.dll
23.08.2006 22:38 100.344 vsxml.dll
23.08.2006 22:38 268.280 vspubapi.dll
23.08.2006 22:38 71.672 vsregexp.dll
23.08.2006 22:38 104.440 vsmonapi.dll
23.08.2006 22:38 157.688 vsinit.dll
23.08.2006 22:37 83.960 vsdata.dll
08.08.2006 13:38 98.304 CmdLineExt.dll

22.11.2006 22:12 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}13700.html
22.11.2006 22:12 289 ssry353p.zip
22.11.2006 18:45 16.384 ~DF7524.tmp
22.11.2006 18:45 512 ~DF6E11.tmp
22.11.2006 18:45 16.384 ~DF6E03.tmp
5 Datei(en) 34.552 Bytes
0 Verzeichnis(se), 40.388.894.720 Bytes frei



22.11.2006 18:55 202 NeroDigital.ini
21.11.2006 20:11 677 win.ini
21.11.2006 20:11 227 system.ini
21.11.2006 20:10 0 0.log
21.11.2006 20:10 2.048 bootstat.dat
21.11.2006 20:09 32.588 SchedLgU.Txt
21.11.2006 20:09 401.450 WindowsUpdate.log
20.11.2006 22:03 772 wiadebug.log
20.11.2006 20:55 50 wiaservc.log
18.11.2006 17:16 328.996 setupapi.log
18.11.2006 17:16 205.052 setupact.log
29.10.2006 15:01 305.882 DirectX.log
18.10.2006 20:34 23 BlendSettings.ini
17.10.2006 16:47 2.136 eReg.dat
14.10.2006 13:53 155 winamp.ini
04.10.2006 18:35 4.096 d3dx.dat
12.09.2006 05:12 109 oodcnt.INI
11.09.2006 17:09 2.902 mozver.dat
10.08.2006 21:41 73.216 cadkasdeinst01.exe
05.08.2006 10:59 64.160 War3Unin.dat
05.08.2006 10:57 2.829 War3Unin.pif
05.08.2006 10:57 139.264 War3Unin.exe
02.08.2006 22:35 316.640 WMSysPr9.prx
01.08.2006 14:27 8.807 iis6.log
01.08.2006 14:27 4.606 ocmsn.log
01.08.2006 14:27 3.818 imsins.log
01.08.2006 14:27 21.082 ntdtcsetup.log
01.08.2006 14:27 36.444 tsoc.log
01.08.2006 14:27 34.069 comsetup.log
01.08.2006 14:27 63.220 ocgen.log
01.08.2006 14:27 4.546 msgsocm.log
01.08.2006 14:27 64.806 FaxSetup.log



21.11.2006 20:10 256 ZLT07ea2.TMP
21.11.2006 20:10 256 ZLT07e9b.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 40.388.882.432 Bytes frei


16.05.2006 17:00 65 desktop.ini
16.06.2004 06:02 323.584 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 40.388.882.432 Bytes frei



22.11.2006 22:45 0 sys.txt
22.11.2006 22:45 440 down.txt
22.11.2006 22:45 322 tmp.txt
22.11.2006 22:45 6.904 system.txt
22.11.2006 22:44 536 systemtemp.txt
22.11.2006 22:43 102.133 system32.txt
22.11.2006 22:12 289 datFind.zip
22.11.2006 14:42 1.581.056 line-rider.exe
22.11.2006 14:42 52.736 lbzgl1.exe
22.11.2006 14:42 100.864 lbz3d.exe
21.11.2006 20:11 211 boot.ini
21.11.2006 20:11 268 sqmdata02.sqm
21.11.2006 20:11 244 sqmnoopt02.sqm
21.11.2006 20:10 1.610.612.736 pagefile.sys
21.11.2006 06:51 13.817.440 bitdefender_free_v8.exe
20.11.2006 14:12 244 sqmnoopt01.sqm
20.11.2006 14:12 268 sqmdata01.sqm
19.11.2006 16:21 244 sqmnoopt00.sqm
19.11.2006 16:21 268 sqmdata00.sqm
19.11.2006 15:07 16.330.024 Install_Messenger.exe
25.10.2006 16:11 3.806.946 UDAX009-AZA10-Logo09.59.73-flexbass.zip
04.10.2006 09:23 668 datFind.bat
02.08.2006 18:00 486 Warcraft III.mds

so jetz is richtig ;)
Seitenanfang Seitenende
22.11.2006, 23:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
mit virustotal ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\lbzgl1.exe
C:\lbz3d.exe
C:\line-rider.exe
C:\Windows\System32\incom_.exe
C:\Windows\System32\Fight9.exe
C:\Windows\System32\eMule44b-v16-webcache.exe

poste die reporte

----------------------------
««
loeschen:
C:\WINDOWS\system32\ckl009.dat
C:\WINDOWS\system32\del32.bat

««
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.11.2006, 21:51
...neu hier

Beiträge: 10
#13 ok hab die files gescannt sind alle clean und hab die gelöscht die ich löschen sollte hm..den bericht hat er irgendwie nicht gespeichert...naja ich habs jetz nochmal durchlaufen lassen scheint alles ok zu sein muss ich noch was an der registry ändern oder wars das ?



MfG hackme
Seitenanfang Seitenende
23.11.2006, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
poste das log
http://virus-protect.org/registry_stuff.html

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 13:38
...neu hier

Beiträge: 10
#15 ...ok hier das log:


doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000004
"Type"=dword:00000020
"Group"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00000c2c

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"1900:UDP"="1900:UDP:LocalSubNet;)isabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet;)isabled:@xpsp2res.dll,-22008"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DisableNotifications"=dword:00000000
"DoNotAllowExceptions"=dword:00000000


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001



und hier das ander:


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Nov 24, 2006 13:37:39


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 2960
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 3948
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: bdss
Display Name: BitDefender Scan Server
Start Mode: Auto
Start Name: LocalSystem
Description: Scans media for viruses and other security ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\softwin\bitdefender scan server\bdss.exe" /service
State: Running
Process ID: 3904
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: Macromedia Licensing Service
Display Name: Macromedia Licensing Service
Start Mode: Disabled
Start Name: LocalSystem
Description: Provides authentication services for Macromedia ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\macromedia shared\service\macromedia licensing.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: Nla
Display Name: NLA (Network Location Awareness)
Start Mode: Boot
Start Name: LocalSystem
Description: Sammelt und speichert Netzwerkkonfigurations- und Standortinformationen und benachrichtigt ...
Service Type: Share Process
Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1428
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 8
Service Name: O&O Defrag
Display Name: O&O Defrag
Start Mode: Disabled
Start Name: LocalSystem
Description: O&O Defragmentation ...
Service Type: Own Process
Path: c:\windows\system32\oodag.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: PowerManager
Display Name: Power Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Manages the power save features of the ...
Service Type: Own Process
Path: c:\windows\svchost.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #10
Service Name: rpcapd
Display Name: Remote Packet Capture Protocol v.0 (experimental)
Start Mode: Disabled
Start Name: LocalSystem
Description: Allows to capture traffic on this machine from a remote ...
Service Type: Own Process
Path: "c:\programme\winpcap\rpcapd.exe" -d -f "c:\programme\winpcap\rpcapd.ini"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #11
Service Name: SENS
Display Name: Systemereignisbenachrichtigung
Start Mode: Boot
Start Name: LocalSystem
Description: Verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. ...
Service Type: Share Process
Path: \systemroot\c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1428
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #12
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{09112b66-645e-4cf4-a089-5f09ded69811}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: usnsvc
Display Name: Messenger Sharing USN Journal Reader-Service
Start Mode: Manual
Start Name: LocalSystem
Description: Ein von Messenger installierter Service, der Freigabeszenarien ...
Service Type: Own Process
Path: c:\windows\system32\svchost.exe -k usnsvc
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #14
Service Name: WinVNC4
Display Name: VNC Server Version 4
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\vnc4\winvnc4.exe" -service
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 15
Service Name: XCOMM
Display Name: BitDefender Communicator
Start Mode: Auto
Start Name: LocalSystem
Description: Ensures proper communication between BitDefender ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\softwin\bitdefender communicator\xcommsvr.exe" /service
State: Running
Process ID: 1192
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 92 Win32 services on this machine.
15 were unrecognized.

Script Execution Time: 1,84375 seconds.


danke für die schnelle hilfe

MfG hackme
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: