Virus Warning - access blocked/res://C:/WINDOWS/System32/shdoclc.dll/nav

#0
19.12.2004, 13:48
...neu hier

Beiträge: 1
#1 Hallo,

ich habe seit einigen Tagen ein Problem mit meinem IE.
Ich komme nicht mehr ins Internet. Bekomme Meldung "Virus Warning" Access Blocked. Hatte eine vv.dat Datei auf dem Rechner, habe daraufhin zwei Programme drüberlaufenlassen, die bofra erkennen -> wurde nicht erkannt.

Jedesmall wenn ich jetzt den IE starte schlägt es mich auf folgende Seite:
res://C:/WINDOWS/System32/shdoclc.dll/navcancl.htm, und sobald ich die Seite wechseln möchte kommt access blocked.
Keine Chance auf irgendeine Seite zu gelangen.

Habe schon spyware, adware drüberlaufen lassen, aber auch das bringt nichts.
Wer kann mir helfen!?!?

Lieben Dank :-))
Pfinzi

Logfile of HijackThis v1.98.2
Scan saved at 13:30:57, on 19.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\Rar$EX00.188\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lwinst Run Profiler] .\Lwtest.exe /detect /quiet /launch ".\Lwpevntm.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office2000\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
Dieser Beitrag wurde am 19.12.2004 um 23:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.12.2004, 22:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@pfinzi

zuerst versuche es mit einer Wiederherstellung (auf einen Tag, als dein IE noch nicht gehackt war.) das ist wahrscheinlich die beste Loesung :p
________________________________________________________________________
du hast kein Net, weil:
der Winsock ist nicht in Ordnung, der Server kann nicht gefunden werden

Cannot Find Server
Protocol: unknown protocol
Type: Not available
Connection: Not encrypted
Address (URL):
*Res://C:windows\system\shdoclc.dll/dnserror.HTM#*http:/clients-00.eprize.net/Dakota/decoder*/

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


shdoclc.dll --> suche, du wirst 2 finden


shdoclc.dll (folder)C:Windows\S… (size)521KB (type)Application Extension
(erstellt und veraendert)......
Microsoft Shell Doc Object and Control Library File

shdoclc.dll (folder)C:Windows (size)384 KB (type)Application Extension
das ist die "Malware"
product name ist MICROSOFT 2000 OPERATING SYSTEM

loesche die Malware-shdoclc.dll [(size)384 KB]

dann lege die XP-cd ein und mache eine Reparatur.

---------------------------------------------------------------------------

Lade folgende Tools (noch nicht scannen...erst im abgesicherten Modus)

#eScan-Erkennungstool-->updaten wie beschrieben
http://www.rokop-security.de/board/index.php?showtopic=3867

#AboutBuster-->updaten
1) Download the tool About:Buster created by Rubber Ducky. (Download here)
http://zerosrealm.com/index.php?page=dllfix
www.malwarebytes.biz/AboutBuster.zip

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

Start<Ausfuehren<cmd
kopiere rein:

del C:\WINDOWS\ietlbass32.dll
klicke :enter

regsvr32 /u [systemroot]\ietlbass32.dll
klicke :enter

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll
O13 - DefaultPrefix: http://ehttp.cc/?
O13 - WWW Prefix: http://ehttp.cc/?
O13 - WWW. Prefix: http://ehttp.cc/?

PC neustarten-->in den abgesicherten Modus
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\ietlbass32.dll

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes"
und startest den PC neu.

Neustarten und gehe wieder in den abgesicherten Modus

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
Click:Temporäre Dateien, o.k

#scanne mit About Buster und AdAware

#Escan:
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken
--------------------------------------------------------------------------------------------
Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
HijackThis/1.99 BETA Version

Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.12.2004 um 23:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.12.2004, 05:13
...neu hier

Beiträge: 10
#3 Hi Sabina

Du scheinst echt nen plan davon zu haben und das ist gut weil ich nicht und hab das selbe prob wie der kollege hier oben *g*
habe mich schon durch unzählige Thread und foren gelesen aber irgendwie hab ich das net so recht hinbekommen glaub ich ?!?!
Hier mein log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Winamp1\Winampa.exe
C:\WINDOWS\Mixer.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\DirectUpdate\DUControl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\DIRECT~1\DUService.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dahools.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = <dh>Pennywise
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp1\Winampa.exe"
O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Richi-Studios\DeskPartner\DeskPartner.exe" /Autostart
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [Ad-watch] C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
O4 - HKLM\..\Run: [AVGuard] c:\software\virus\AVGNT.EXE /min
O4 - HKLM\..\Run: [DUControl] C:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AnOtherWC] "C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\AOWC.exe" aowcstart
O4 - HKCU\..\Run: [AceClock] C:\Programme\ECrew\AceClockPro\aceclock.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: S*Voodoo - {091ADD10-E02C-4ED4-82D3-7F7AB33F4F9C} - www.s-voodoo.de (file missing)
O9 - Extra button: Dahools - {2343E2AA-05A6-45B6-9935-6A37B77AF6C4} - http://www.dahools.de (file missing)
O9 - Extra button: S*Voodoo - {300194F1-6EB9-401A-8976-12D2F33CC1D8} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: Peggers - {3C2E147E-A0D8-4ADF-9A1B-299CF066181A} - http://www.peggers.net (file missing)
O9 - Extra button: DAHOOLS - {439BE9C6-8970-45CC-A543-23A5A76C1E65} - www.dahools.de.vu (file missing)
O9 - Extra button: S*Voodoo - {536B60AC-AB9A-4422-852F-CDC053EB6B0A} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: EBAY - {6F6BF043-0B78-44C2-81EE-242DEF3C04A6} - www.ebay.de (file missing)
O9 - Extra button: Akademie - {99702B40-81AE-41EC-A5CB-DBF79D3366A2} - www.adbk-nuernberg.de (file missing)
O9 - Extra button: Dahools - {BCF3F203-93D5-40FE-AB44-5616FCED9FC4} - http://www.dahool.de (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D878CBF7-7D15-4F43-BE46-C52852DC3CA3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Direct Update - http://www.directupdate.net - C:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Can you tell me what to do ???
Hab zwar schon mal nach ein paar anderen Beispielen geschaut wie es gehen soll aber so ganz richtig hab ich es nicht hinbekommen oder ?!?!
Pls help me Sabina*g*?????
Seitenanfang Seitenende
23.12.2004, 11:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@wisex

Ich habe leider noch keine Erfahrung mit diesem Hijacker, aber du koenntest mir auch helfen, indem du alles abarbeitest und mir alles postest.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

neustarten

das Problem liegt hier:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

dort muesste folgendes stehen:
C:\WINDOWS\SYSTEM\Shdocvw.dll


diese dll ist entweder geloescht (?) oder von der anderen (Malware) ueberschrieben (??)

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


suche bitte:
1. )Shdocvw.dll --->findest du eine ? oder auch zwei ?

2. )shdoclc.dll --> suche, du wirst 2 finden (C:\WINDOWS\System32\shdoclc.dll)
shdoclc.dll (folder)C:Windows\S… (size)521KB (type)Application Extension
(erstellt und veraendert)......
Microsoft Shell Doc Object and Control Library File

shdoclc.dll (folder)C:Windows (size)384 KB (type)Application Extension
das ist die "Malware"
product name ist MICROSOFT 2000 OPERATING SYSTEM

-------------------------------------------------------------------------------------------

wenn das fertig ist, lade (und poste mir das Scanlog)
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.12.2004 um 11:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.12.2004, 15:58
...neu hier

Beiträge: 10
#5 Hi
Also hab mal alles gemacht so wie du es beschrieben hast zumindest hoffe ich das *g*
Die Datei--->Shdocvw.dll und shdoclc.dll sind beide vorhanden !!
Hab aber jeweils nur eine davon gefunden !! Beide in C:\Windows\System32

Scanlog von Ad-aware :

23.12.2004 14:53:16 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\adobe\photoshop\7.0\visiteddirs
Description : adobe photoshop 7 recent work folders


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\office\9.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\office\9.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint



MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\player\recentfilelist
Description : list of recently used files in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\preferences
Description : last cd record path used in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\jasc\paint shop pro 7\recent file list
Description : list of recently used files in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\jasc\animation shop 3\recent file list
Description : list of recently used files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\jasc\paint shop pro 7\general
Description : last save as directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\jasc\animation shop 3\saveasdialog
Description : list of recently saved files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\macromedia\dreamweaver 6\recent file list
Description : list of recently used files in macromedia dreamweaver


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\frontpage\explorer\frontpage explorer\recent web list
Description : list of recently used webs in microsoft frontpage


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\macromedia\flash 6\recent file list
Description : list of recently used files in macromedia flash


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\jasc\animation shop 3\fileopendialog
Description : list of recently opened files in jasc animation shop


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\frontpage\explorer\frontpage explorer\recent file list
Description : list of recently used files in microsoft frontpage


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\macromedia\director\8.0\recentfiles
Description : list of recently used files in macromedia director


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Besitzer\recent
Description : list of recently opened documents


Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 408
ThreadCreationTime : 23.12.2004 13:44:23
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 472
ThreadCreationTime : 23.12.2004 13:44:24
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 496
ThreadCreationTime : 23.12.2004 13:44:26
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 540
ThreadCreationTime : 23.12.2004 13:44:26
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 552
ThreadCreationTime : 23.12.2004 13:44:26
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 744
ThreadCreationTime : 23.12.2004 13:44:26
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 796
ThreadCreationTime : 23.12.2004 13:44:26
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 916
ThreadCreationTime : 23.12.2004 13:44:27
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 980
ThreadCreationTime : 23.12.2004 13:44:27
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1072
ThreadCreationTime : 23.12.2004 13:44:28
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:11 [apache.exe]
FilePath : C:\Programme\Apache Group\Apache2\bin\
ProcessID : 1224
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 2.0.48
ProductVersion : 2.0.48
ProductName : Apache HTTP Server
CompanyName : Apache Software Foundation
FileDescription : Apache HTTP Server
InternalName : Apache.exe
LegalCopyright : Copyright © 2000-2002 The Apache Software Foundation.
OriginalFilename : Apache.exe.exe
Comments : All rights reserved. The license is available at <http://www.apache.org/LICENSE.txt>. The Apache HTTP Server project pages are at <http://httpd.apache.org/>.

#:12 [duservice.exe]
FilePath : C:\PROGRA~1\DIRECT~1\
ProcessID : 1248
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 3, 5, 5, 389
ProductVersion : 3, 5, 5, 389
ProductName : DirectUpdate service
CompanyName : http://www.directupdate.net
FileDescription : The service engine for DirectUpdate
InternalName : DUService
LegalCopyright : Copyright ©2000-2001 William Levra-Juillet
OriginalFilename : DUService.exe
Comments : DirectUpdate service

#:13 [npssvc.exe]
FilePath : C:\PROGRA~1\Navnt\
ProcessID : 1280
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 5.3.0.180
ProductVersion : 5.3.0.180
ProductName : Norton AntiVirus Core Technology
CompanyName : Symantec Corporation
FileDescription : Norton Program Scheduler Service
InternalName : NPSSVC
LegalCopyright : Copyright (C) Symantec Corporation 1991-1999
OriginalFilename : NPSSVC.EXE

#:14 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1312
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 5.13.01.2183
ProductVersion : 5.13.01.2183
ProductName : NVIDIA Driver Helper Service, Version 21.83
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 21.83
InternalName : NVSVC
LegalCopyright : Copyright © 1998-2001 NVIDIA Corporation
OriginalFilename : nvsvc32.exe

#:15 [pctspk.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1336
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 4.00
ProductVersion : 4.00
ProductName : PCTSPK.EXE
CompanyName : PCtel, Inc.
FileDescription : PCTSPK.EXE
InternalName : PCTSPK.EXE
LegalCopyright : Copyright (C)PCtel,Inc. 1999-2000
OriginalFilename : PCTSPK.EXE

#:16 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1364
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:17 [apache.exe]
FilePath : C:\Programme\Apache Group\Apache2\bin\
ProcessID : 1376
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 2.0.48
ProductVersion : 2.0.48
ProductName : Apache HTTP Server
CompanyName : Apache Software Foundation
FileDescription : Apache HTTP Server
InternalName : Apache.exe
LegalCopyright : Copyright © 2000-2002 The Apache Software Foundation.
OriginalFilename : Apache.exe.exe
Comments : All rights reserved. The license is available at <http://www.apache.org/LICENSE.txt>. The Apache HTTP Server project pages are at <http://httpd.apache.org/>.

#:18 [mspmspsv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1432
ThreadCreationTime : 23.12.2004 13:45:36
BasePriority : Normal
FileVersion : 7.01.00.3055
ProductVersion : 7.01.00.3055
ProductName : Microsoft (R) DRM
CompanyName : Microsoft Corporation
FileDescription : WMDM PMSP Service
InternalName : MSPMSPSV.EXE
LegalCopyright : Copyright (C) Microsoft Corp. 1981-2000
OriginalFilename : MSPMSPSV.EXE

#:19 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 2820
ThreadCreationTime : 23.12.2004 13:46:56
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:20 [hotkey.exe]
FilePath : C:\WINDOWS\Twain_32\FlatBed\
ProcessID : 2960
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal


#:21 [winampa.exe]
FilePath : C:\Programme\Winamp1\
ProcessID : 2968
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal


#:22 [mixer.exe]
FilePath : C:\WINDOWS\
ProcessID : 2976
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 1.48
ProductVersion : 1.48
ProductName : Mixer
CompanyName : C-Media Electronic Inc. (www.cmedia.com.tw)
FileDescription : Mixer
InternalName : Mixer
LegalCopyright : Copyright (C) 1997-2002
LegalTrademarks : NONE
OriginalFilename : Mixer.EXE
Comments : Feng Min-Chih (min_chih@cmedia.com.tw)

#:23 [echoctrl.exe]
FilePath : C:\Programme\PCI Audio Applications\Bin\
ProcessID : 2996
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 1, 0, 0, 1
ProductVersion : 1, 0, 0, 1
ProductName : EchoCtrl Application
FileDescription : EchoCtrl MFC Application
InternalName : EchoCtrl
LegalCopyright : Copyright (C) 2001
OriginalFilename : EchoCtrl.EXE

#:24 [ad-watch.exe]
FilePath : C:\Programme\Lavasoft\Ad-aware 6\
ProcessID : 3012
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 3.1.2.17
ProductVersion : 3.0
ProductName : Ad-aware 6
CompanyName : Lavasoft Sweden
FileDescription : Ad-watch Monitor
InternalName : Ad-watch.exe
LegalCopyright : 2001-2003 Team Lavasoft
OriginalFilename : Ad-watch.exe

#:25 [ducontrol.exe]
FilePath : C:\Programme\DirectUpdate\
ProcessID : 3036
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 3, 3, 1, 59
ProductVersion : 3, 3, 1, 59
ProductName : DirectUpdate control
CompanyName : http://www.directupdate.net
FileDescription : The engine control for DirectUpdate
InternalName : DUControl
LegalCopyright : Copyright ©2000-2001 William Levra-Juillet
OriginalFilename : DUControl.exe
Comments : DirectUpdate control

#:26 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 3064
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:27 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ProcessID : 3072
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 4.6.0077
ProductVersion : Version 4.6
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2001
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:28 [vplus.exe]
FilePath : C:\Programme\ICQPlus\
ProcessID : 3080
ThreadCreationTime : 23.12.2004 13:46:59
BasePriority : Normal
FileVersion : 3.5
ProductVersion : 3.5
ProductName : ICQ Plus
CompanyName : Vadim Eremeev
FileDescription : Customize ICQ appearance
InternalName : VPlus
LegalCopyright : Copyright © 1999-2002 Vadim Eremeev
LegalTrademarks : Freeware
OriginalFilename : VPlus.exe
Comments : ICQ Plus

#:29 [apachemonitor.exe]
FilePath : C:\Programme\Apache Group\Apache2\bin\
ProcessID : 3156
ThreadCreationTime : 23.12.2004 13:47:00
BasePriority : Normal
FileVersion : 2.0.48
ProductVersion : 2.0.48
ProductName : Apache HTTP Server
CompanyName : Apache Software Foundation
FileDescription : Apache HTTP Server Monitor
InternalName : ApacheMonitor.exe
LegalCopyright : Copyright © 2000-2002 The Apache Software Foundation.
OriginalFilename : ApacheMonitor.exe.exe
Comments : All rights reserved. The license is available at <http://www.apache.org/LICENSE.txt>. The Apache HTTP Server project pages are at <http://httpd.apache.org/>.

#:30 [kbdap32a.exe]
FilePath : C:\Programme\Multimedia keyboard utility\1.3\
ProcessID : 3256
ThreadCreationTime : 23.12.2004 13:47:01
BasePriority : High
FileVersion : 2.7.0.1
ProductVersion : 2.0.0.0
FileDescription : Multi-Media Keyboard Application
LegalCopyright : Copyright 2001 by LEE,WEI-BIN.

#:31 [iexplore.exe]
FilePath : C:\Programme\Internet Explorer\
ProcessID : 2376
ThreadCreationTime : 23.12.2004 13:47:31
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

#:32 [dap.exe]
FilePath : C:\PROGRA~1\DAP\
ProcessID : 2440
ThreadCreationTime : 23.12.2004 13:49:58
BasePriority : Normal
FileVersion : 5, 3, 0, 0
ProductVersion : 5, 3, 0, 0
ProductName : Download Accelerator Plus
CompanyName : SpeedBit Ltd.
FileDescription : Download Accelerator Plus
InternalName : DAP
LegalCopyright : Copyright (C) 1999 - 2002 SpeedBit Ltd
OriginalFilename : DAP.EXE

#:33 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 908
ThreadCreationTime : 23.12.2004 13:52:26
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 46


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : typelib\{bd0022a3-a43f-4f44-b64f-53ea7575f097}

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{0b6ef17e-18e5-4449-86ea-64c82d596eae}

CoolWebSearch Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : interface\{0b6ef17e-18e5-4449-86ea-64c82d596eae}
Value :

MainPean Dialer Object Recognized!
Type : Regkey
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : Pre

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : PreNumber

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : DeviceName

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : Country

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : Language

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : Machine

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : InstallFlags

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : PassFlags

MainPean Dialer Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : MainPean
Rootkey : HKEY_LOCAL_MACHINE
Object : software\mainpean highspeed
Value : Password

Favoriteman Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "Counter"
Rootkey : HKEY_USERS
Object : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows
Value : Counter

Favoriteman Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "Server"
Rootkey : HKEY_USERS
Object : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows
Value : Server

Favoriteman Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "Object"
Rootkey : HKEY_USERS
Object : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows
Value : Object

RightFinder Object Recognized!
Type : RegValue
Data :
Category : Malware
Comment : "AddClass"
Rootkey : HKEY_USERS
Object : S-1-5-21-1694720459-4058564391-1203367206-1003\software\microsoft\windows\currentversion\run
Value : AddClass

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 17
Objects found so far: 63


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 63


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter9.sextracker[1].txt
Category : Data Miner
Comment : Hits:23
Value : Cookie:besitzer@counter9.sextracker.com/
Expires : 23.12.2004 19:19:34
LastSync : Hits:23
UseCount : 0
Hits : 23

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter10.sextracker[1].txt
Category : Data Miner
Comment : Hits:10
Value : Cookie:besitzer@counter10.sextracker.com/
Expires : 28.11.2004 10:19:52
LastSync : Hits:10
UseCount : 0
Hits : 10

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@bluestreak[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@bluestreak.com/
Expires : 09.12.2014 12:38:32
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter6.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter6.sextracker.com/
Expires : 22.12.2004 07:58:32
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@valueclick[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@valueclick.net/
Expires : 06.09.2029 14:27:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter2.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter2.sextracker.com/
Expires : 19.11.2004 19:28:20
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@atdmt[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@atdmt.com/
Expires : 22.12.2009 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter14.sextracker[2].txt
Category : Data Miner
Comment : Hits:15
Value : Cookie:besitzer@counter14.sextracker.com/
Expires : 19.12.2004 06:46:40
LastSync : Hits:15
UseCount : 0
Hits : 15

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@instadia[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@instadia.net/
Expires : 04.07.2029 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@questionmarket[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@questionmarket.com/
Expires : 21.11.2005 05:31:30
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ads.tripod.lycos[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@ads.tripod.lycos.es/
Expires : 21.06.2004 19:18:08
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@landing.domainsponsor[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@landing.domainsponsor.com/
Expires : 01.12.2004 15:05:22
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@www.123count[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@www.123count.com/
Expires : 25.12.2010 00:12:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@hypercount[2].txt
Category : Data Miner
Comment : Hits:66
Value : Cookie:besitzer@hypercount.com/
Expires : 23.12.2005 03:19:34
LastSync : Hits:66
UseCount : 0
Hits : 66

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@statcounter[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@statcounter.com/
Expires : 12.07.2009 13:29:04
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adserver.planet-multiplayer[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@adserver.planet-multiplayer.de/
Expires : 09.10.2004 04:15:32
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@tripod[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@tripod.com/
Expires : 09.12.2005 14:19:06
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adserver.geizkragen[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@adserver.geizkragen.de/
Expires : 11.11.2004 13:05:46
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@cgi-bin[2].txt
Category : Data Miner
Comment : Hits:44
Value : Cookie:besitzer@imrworldwide.com/cgi-bin
Expires : 09.12.2014 17:38:32
LastSync : Hits:44
UseCount : 0
Hits : 44

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@spinbox[1].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:besitzer@spinbox.net/
Expires : 25.09.2006 23:03:50
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@as1.falkag[2].txt
Category : Data Miner
Comment : Hits:277
Value : Cookie:besitzer@as1.falkag.de/
Expires : 22.01.2005 04:04:20
LastSync : Hits:277
UseCount : 0
Hits : 277

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@cgi-bin[3].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@www1.addfreestats.com/cgi-bin
Expires : 28.02.2015 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@2o7[1].txt
Category : Data Miner
Comment : Hits:5
Value : Cookie:besitzer@2o7.net/
Expires : 19.11.2009 23:35:00
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@sexlist[1].txt
Category : Data Miner
Comment : Hits:150
Value : Cookie:besitzer@sexlist.com/
Expires : 23.12.2005 03:26:36
LastSync : Hits:150
UseCount : 0
Hits : 150

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adtech[2].txt
Category : Data Miner
Comment : Hits:7
Value : Cookie:besitzer@adtech.de/
Expires : 21.12.2014 14:41:38
LastSync : Hits:7
UseCount : 0
Hits : 7

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@advertising[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@advertising.com/
Expires : 09.12.2009 17:26:48
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@zedo[2].txt
Category : Data Miner
Comment : Hits:6
Value : Cookie:besitzer@zedo.com/
Expires : 16.11.2014 17:55:56
LastSync : Hits:6
UseCount : 0
Hits : 6

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter3.sextracker[1].txt
Category : Data Miner
Comment : Hits:4
Value : Cookie:besitzer@counter3.sextracker.com/
Expires : 23.12.2004 19:24:50
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter5.sextracker[1].txt
Category : Data Miner
Comment : Hits:23
Value : Cookie:besitzer@counter5.sextracker.com/
Expires : 23.12.2004 19:19:44
LastSync : Hits:23
UseCount : 0
Hits : 23

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@sextracker[1].txt
Category : Data Miner
Comment : Hits:37
Value : Cookie:besitzer@sextracker.com/
Expires : 24.12.2004 03:28:46
LastSync : Hits:37
UseCount : 0
Hits : 37

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter7.sextracker[1].txt
Category : Data Miner
Comment : Hits:4
Value : Cookie:besitzer@counter7.sextracker.com/
Expires : 04.12.2004 07:26:52
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter.hitslink[2].txt
Category : Data Miner
Comment : Hits:17
Value : Cookie:besitzer@counter.hitslink.com/
Expires : 18.01.2038 06:00:00
LastSync : Hits:17
UseCount : 0
Hits : 17

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@tribalfusion[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@tribalfusion.com/
Expires : 01.01.2038 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@cgi-bin[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@www.addfreestats.com/cgi-bin
Expires : 28.02.2015 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter13.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter13.sextracker.com/
Expires : 18.12.2004 05:18:36
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@maxserving[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@maxserving.com/
Expires : 16.11.2014 00:49:16
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@fastclick[2].txt
Category : Data Miner
Comment : Hits:16
Value : Cookie:besitzer@fastclick.net/
Expires : 29.11.2006 14:14:00
LastSync : Hits:16
UseCount : 0
Hits : 16

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@partners.webmasterplan[1].txt
Category : Data Miner
Comment : Hits:29
Value : Cookie:besitzer@partners.webmasterplan.com/
Expires : 20.01.2005
LastSync : Hits:29
UseCount : 0
Hits : 29

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ehg-deltatre.hitbox[2].txt
Category : Data Miner
Comment : Hits:25
Value : Cookie:besitzer@ehg-deltatre.hitbox.com/
Expires : 16.12.2005 14:25:02
LastSync : Hits:25
UseCount : 0
Hits : 25

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@trafficmp[2].txt
Category : Data Miner
Comment : Hits:18
Value : Cookie:besitzer@trafficmp.com/
Expires : 07.11.2005 20:14:14
LastSync : Hits:18
UseCount : 0
Hits : 18

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@hc2.humanclick[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@hc2.humanclick.com/
Expires : 21.02.2005 02:24:38
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@servedby.advertising[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@servedby.advertising.com/
Expires : 09.01.2005 17:26:48
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter11.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter11.sextracker.com/
Expires : 16.11.2004 18:36:38
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@hitbox[1].txt
Category : Data Miner
Comment : Hits:27
Value : Cookie:besitzer@hitbox.com/
Expires : 16.12.2005 14:25:02
LastSync : Hits:27
UseCount : 0
Hits : 27

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter1.sextracker[2].txt
Category : Data Miner
Comment : Hits:12
Value : Cookie:besitzer@counter1.sextracker.com/
Expires : 11.12.2004 19:32:44
LastSync : Hits:12
UseCount : 0
Hits : 12

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adserver.filefront[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@adserver.filefront.com/
Expires : 19.05.2004 15:09:40
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter16.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter16.sextracker.com/
Expires : 26.11.2004 19:03:48
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@count.xhit[3].txt
Category : Data Miner
Comment : Hits:49
Value : Cookie:besitzer@count.xhit.com/
Expires : 28.01.2005 18:19:00
LastSync : Hits:49
UseCount : 0
Hits : 49

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@gator[1].txt
Category : Data Miner
Comment : Hits:21
Value : Cookie:besitzer@gator.com/
Expires : 14.02.2005 12:53:36
LastSync : Hits:21
UseCount : 0
Hits : 21

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@www.counter-gratis[2].txt
Category : Data Miner
Comment : Hits:6
Value : Cookie:besitzer@www.counter-gratis.com/
Expires : 17.02.2004 17:21:08
LastSync : Hits:6
UseCount : 0
Hits : 6

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@mediaplex[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@mediaplex.com/
Expires : 22.06.2009 01:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@www.cibleclick[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@www.cibleclick.com/
Expires : 09.01.2005 19:19:42
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@paycounter[1].txt
Category : Data Miner
Comment : Hits:75
Value : Cookie:besitzer@paycounter.com/
Expires : 31.12.2030 02:00:00
LastSync : Hits:75
UseCount : 0
Hits : 75

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@okcounter[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@okcounter.com/
Expires : 08.06.2004 16:53:58
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@stat.onestat[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@stat.onestat.com/
Expires : 18.11.2014 01:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@edge.ru4[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@edge.ru4.com/
Expires : 25.08.2004 23:20:28
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@xxxtoolbar[1].txt
Category : Data Miner
Comment : Hits:32
Value : Cookie:besitzer@xxxtoolbar.com/
Expires : 09.01.2005 18:18:22
LastSync : Hits:32
UseCount : 0
Hits : 32

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@exit-ad[2].txt
Category : Data Miner
Comment : Hits:7
Value : Cookie:besitzer@exit-ad.de/
Expires : 08.01.2005 13:52:54
LastSync : Hits:7
UseCount : 0
Hits : 7

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adserver.tutorials[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@adserver.tutorials.de/
Expires : 04.01.2004 10:36:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@w116.hitbox[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@w116.hitbox.com/
Expires : 26.03.2005 20:01:32
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@cgi-bin[4].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:besitzer@www2.addfreestats.com/cgi-bin
Expires : 28.02.2015 01:00:00
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@fl01.ct2.comclick[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@fl01.ct2.comclick.com/
Expires : 10.01.2029 01:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@revenue[2].txt
Category : Data Miner
Comment : Hits:5
Value : Cookie:besitzer@revenue.net/
Expires : 10.06.2022 06:05:42
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@server.iad.liveperson[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@server.iad.liveperson.net/
Expires : 10.10.2005 01:23:00
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adserver.71i[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@adserver.71i.de/
Expires : 30.12.2037 17:00:00
LastSync : Hits:1
UseCount : 0
Hits : 1


Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@cxoadfarm.dyndns[1].txt
Category : Data Miner
Comment : Hits:13
Value : Cookie:besitzer@cxoadfarm.dyndns.info/
Expires : 23.12.2005 04:04:28
LastSync : Hits:13
UseCount : 0
Hits : 13

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@statswhere[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@statswhere.com/
Expires : 11.08.2004 17:45:56
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@weborama[1].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:besitzer@weborama.fr/
Expires : 10.12.2009 17:38:30
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ehg-sonycomputer.hitbox[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@ehg-sonycomputer.hitbox.com/
Expires : 25.08.2005 17:55:06
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@advertise.planetlan[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@advertise.planetlan.net/
Expires : 20.12.2009 15:48:30
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ehg-zazzle.hitbox[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@ehg-zazzle.hitbox.com/
Expires : 14.04.2005 13:47:50
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@doubleclick[1].txt
Category : Data Miner
Comment : Hits:4
Value : Cookie:besitzer@doubleclick.net/
Expires : 23.12.2007 14:49:52
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@serving-sys[1].txt
Category : Data Miner
Comment : Hits:5
Value : Cookie:besitzer@serving-sys.com/
Expires : 01.01.2038 09:00:00
LastSync : Hits:5
UseCount : 0
Hits : 5

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter2.hitslink[2].txt
Category : Data Miner
Comment : Hits:4
Value : Cookie:besitzer@counter2.hitslink.com/
Expires : 18.01.2038 06:00:00
LastSync : Hits:4
UseCount : 0
Hits : 4

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@please[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@ad2.ip.ro/please/
Expires : 13.06.2005 22:33:24
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@counter15.sextracker[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@counter15.sextracker.com/
Expires : 23.12.2004 19:28:46
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@z1.adserver[1].txt
Category : Data Miner
Comment : Hits:91
Value : Cookie:besitzer@z1.adserver.com/
Expires : 25.09.2005 20:05:34
LastSync : Hits:91
UseCount : 0
Hits : 91

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@bfast[2].txt
Category : Data Miner
Comment : Hits:3
Value : Cookie:besitzer@bfast.com/
Expires : 29.08.2024 21:30:32
LastSync : Hits:3
UseCount : 0
Hits : 3

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ehg-idg.hitbox[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@ehg-idg.hitbox.com/
Expires : 31.07.2005 17:26:36
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@realmedia[2].txt
Category : Data Miner
Comment : Hits:7
Value : Cookie:besitzer@realmedia.com/
Expires : 01.01.2011 01:00:00
LastSync : Hits:7
UseCount : 0
Hits : 7

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@adrevolver[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@www.e-bannerx.com/adrevolver/
Expires : 12.04.2005 16:22:20
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@ads.tucows[2].txt
Category : Data Miner
Comment : Hits:2
Value : Cookie:besitzer@ads.tucows.com/
Expires : 30.12.2037 17:00:00
LastSync : Hits:2
UseCount : 0
Hits : 2

Tracking Cookie Object Recognized!
Type : IECache Entry
Data : besitzer@xxxcounter[1].txt
Category : Data Miner
Comment : Hits:1
Value : Cookie:besitzer@xxxcounter.com/
Expires : 19.12.2004 14:36:58
LastSync : Hits:1
UseCount : 0
Hits : 1

Tracking Cookie Ob
Seitenanfang Seitenende
23.12.2004, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@wisex

mache folgendes:

suche die zwei Dateien, klicke sie mit rechts an (--->Eigenschaften)
und poste, was da steht.
Shdocvw.dll und shdoclc.dll

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.12.2004 um 16:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.12.2004, 17:47
...neu hier

Beiträge: 10
#7 ok hab alles gemacht hier das log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\DIRECT~1\DUService.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Winamp1\Winampa.exe
C:\WINDOWS\Mixer.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\DirectUpdate\DUControl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dahools.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = <dh>Pennywise
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp1\Winampa.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [DUControl] C:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGuard] c:\software\virus\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: S*Voodoo - {091ADD10-E02C-4ED4-82D3-7F7AB33F4F9C} - www.s-voodoo.de (file missing)
O9 - Extra button: Dahools - {2343E2AA-05A6-45B6-9935-6A37B77AF6C4} - http://www.dahools.de (file missing)
O9 - Extra button: S*Voodoo - {300194F1-6EB9-401A-8976-12D2F33CC1D8} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: Peggers - {3C2E147E-A0D8-4ADF-9A1B-299CF066181A} - http://www.peggers.net (file missing)
O9 - Extra button: DAHOOLS - {439BE9C6-8970-45CC-A543-23A5A76C1E65} - www.dahools.de.vu (file missing)
O9 - Extra button: S*Voodoo - {536B60AC-AB9A-4422-852F-CDC053EB6B0A} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: EBAY - {6F6BF043-0B78-44C2-81EE-242DEF3C04A6} - www.ebay.de (file missing)
O9 - Extra button: Akademie - {99702B40-81AE-41EC-A5CB-DBF79D3366A2} - www.adbk-nuernberg.de (file missing)
O9 - Extra button: Dahools - {BCF3F203-93D5-40FE-AB44-5616FCED9FC4} - http://www.dahool.de (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D878CBF7-7D15-4F43-BE46-C52852DC3CA3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Direct Update - http://www.directupdate.net - C:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Was genau willst du denn von den 2 dateien wissen ??
Seitenanfang Seitenende
23.12.2004, 17:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 2. )shdoclc.dll --> suche, du wirst 2 finden (C:\WINDOWS\System32\shdoclc.dll)
shdoclc.dll (folder)C:Windows\S… (size)521KB (type)Application Extension
(erstellt und veraendert)......
Microsoft Shell Doc Object and Control Library File

shdoclc.dll (folder)C:Windows (size)384 KB (type)Application Extension
das ist die "Malware"
product name ist MICROSOFT 2000 OPERATING SYSTEM

??????????????????????????????????????????????????????????????????????

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O9 - Extra button: S*Voodoo - {091ADD10-E02C-4ED4-82D3-7F7AB33F4F9C} - www.s-voodoo.de (file missing)
O9 - Extra button: Dahools - {2343E2AA-05A6-45B6-9935-6A37B77AF6C4} - http://www.dahools.de (file missing)
O9 - Extra button: S*Voodoo - {300194F1-6EB9-401A-8976-12D2F33CC1D8} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: Peggers - {3C2E147E-A0D8-4ADF-9A1B-299CF066181A} - http://www.peggers.net (file missing)
O9 - Extra button: DAHOOLS - {439BE9C6-8970-45CC-A543-23A5A76C1E65} - www.dahools.de.vu (file missing)
O9 - Extra button: S*Voodoo - {536B60AC-AB9A-4422-852F-CDC053EB6B0A} - www.clan.s-voodoo.de (file missing)
O9 - Extra button: EBAY - {6F6BF043-0B78-44C2-81EE-242DEF3C04A6} - www.ebay.de (file missing)
O9 - Extra button: Akademie - {99702B40-81AE-41EC-A5CB-DBF79D3366A2} - www.adbk-nuernberg.de (file missing)
O9 - Extra button: Dahools - {BCF3F203-93D5-40FE-AB44-5616FCED9FC4} - http://www.dahool.de (file missing)
O13 - WWW. Prefix: http://ehttp.cc/?

neustarten

scanne mit eSCan:
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


dann:
Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

dann poste das Log noch einmal.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.12.2004 um 21:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.12.2004, 21:14
...neu hier

Beiträge: 10
#9 Hi

escan infected :

Thu Dec 23 15:10:32 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\babe-bs.exe infected by "not-a-virus:AdWare.ToolBar.CommonName.a" Vi

Thu Dec 23 15:10:32 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\freepeers-336.exe infected by "not-a-virus:AdWare.NewDotNet" Virus.

Thu Dec 23 15:10:41 2004 => Scanning File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\01-STILL WAITING--DOES THIS LOOK INFECTED-SUM 41.mp3 [**]

Thu Dec 23 15:53:56 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\babe-bs.exe infected by "not-a-virus:AdWare.ToolBar.CommonName.a" Virus.

Thu Dec 23 15:53:56 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\freepeers-336.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Acti

Thu Dec 23 15:54:04 2004 => Scanning File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\01-STILL WAITING--DOES THIS LOOK INFECTED-SUM 41.mp3

Thu Dec 23 16:13:29 2004 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\babe-bs.exe infected by "not-a-virus:AdWar

Thu Dec 23 16:13:29 2004 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\freepeers-336.exe infected by "not-a-viru

Thu Dec 23 16:13:46 2004 => Scanning File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\01-STILL WAITING--DOES THIS LOOK INFECTED-SUM 41.mp3

Thu Dec 23 16:19:04 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\jar\1.0\archive.jar-18c96186-77b6644d.zip infected by "Trojan.Java.ClassLoader.d" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:04 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\jar\1.0\reason.zip-27a2eb93-5c75149c.zip infected by "Trojan.Java.ClassLoader.Dummy.a" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Count.class-49dcbfd2-2b4f4423.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Dummy.class-16f49cab-3597108e.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\ok.class-5b267b45-23e9cc6e.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Count.class-42fad49f-411b4813.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

hu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Dummy.class-1012b178-4e54e528.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:19:07 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\ok.class-76bd608a-1f7e0bc4.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

ec 23 16:19:58 2004 => File C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:27:07 2004 => File C:\Programme\Navnt\Quarantine\15CC7FF3.htm infected by "Trojan.JS.Seeker.ac" Virus. Action Taken: No Action Taken.


Thu Dec 23 16:27:07 2004 => File C:\Programme\Navnt\Quarantine\74DA31A6.vbs infected by "Trojan.BAT.KillAll.c" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:42:04 2004 => File C:\System Volume Information\_restore{C1689725-B6D9-4A99-9643-A7584C1570A5}\RP783\A0114642.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken:

Thu Dec 23 16:42:04 2004 => File C:\System Volume Information\_restore{C1689725-B6D9-4A99-9643-A7584C1570A5}\RP783\A0114648.dll infected by "not-a-virus:AdWare.Gator.6041" Virus. Action Taken: No Action Taken.

Thu Dec 23 16:42:04 2004 => File C:\System Volume Information\_restore{C1689725-B6D9-4A99-9643-A7584C1570A5}\RP783\A0114656.exe infected by "

Thu Dec 23 16:42:07 2004 => File C:\System Volume Information\_restore{C1689725-B6D9-4A99-9643-A7584C1570A5}\RP783\A0114700.dll infected by "TrojanDownloader.Win32.BHO" Virus. Action Taken:

Thu Dec 23 16:57:10 2004 => File C:\Software\Filesharing\imesh.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.

Thu Dec 23 18:47:08 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\babe-bs.exe infected by "not-a-virus:AdWare.ToolBar.CommonName.a" Virus.

u Dec 23 18:47:08 2004 => File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\freepeers-336.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Acti

Thu Dec 23 18:47:41 2004 => Scanning File C:\DOKUME~1\Besitzer\LOKALE~1\Temp\01-STILL WAITING--DOES THIS LOOK INFECTED-SUM 41.mp3

hu Dec 23 18:49:32 2004 => Scanning File C:\DOKUME~1\Besitzer\LOKALE~1\TEMPOR~1\Content.IE5\U2BC9A2E\infected6xz[1].gif

Thu Dec 23 19:19:37 2004 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\babe-bs.exe infected by "not-a-virus:AdW

Thu Dec 23 19:19:37 2004 => File C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\freepeers-336.exe infected by "not-a-viru

23 19:29:16 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Count.class-49dcbfd2-2b4f4423.class infected by "Trojan.Java.Nocheat" Virus. Action Taken:

Thu Dec 23 19:29:16 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Dummy.class-16f49cab-3597108e.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 19:29:16 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\ok.class-5b267b45-23e9cc6e.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

Thu Dec 23 19:29:16 2004 => File C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\file\1.0\Count.class-42fad49f-411b4813.class infected by "Trojan.Java.Nocheat" Virus. Action Taken: No Action Taken.

das war alles was dabei war
Seitenanfang Seitenende
23.12.2004, 21:17
...neu hier

Beiträge: 10
#10 auch nochmal das neue log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Winamp1\Winampa.exe
C:\WINDOWS\Mixer.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\Programme\DirectUpdate\DUControl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\PROGRA~1\DIRECT~1\DUService.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dahools.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = <dh>Pennywise
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp1\Winampa.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [DUControl] C:\Programme\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D878CBF7-7D15-4F43-BE46-C52852DC3CA3}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Direct Update - http://www.directupdate.net - C:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NAV Alert - Symantec Corporation - C:\PROGRA~1\Navnt\alertsvc.exe
O23 - Service: NAV Auto-Protect - Symantec Corporation - C:\PROGRA~1\Navnt\navapsvc.exe
O23 - Service: Norton Program Scheduler - Symantec Corporation - C:\PROGRA~1\Navnt\npssvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
Seitenanfang Seitenende
23.12.2004, 22:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 1.Schritt:
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

2.Schritt:
C:\DOKUME~1\Besitzer\LOKALE~1\Temp--> alles loeschen (ausser der index.dat)

1) Start --> Ausfuehren --> typ ein: %systemroot%/temp
2) Start --> Ausfuehren --> typ ein: %temp%

3.Schritt:
leere (alles ausser der index.dat)
C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\

4.Schritt:
Loesche:
C:\Programme\Gemeinsame Dateien\GMT\

das loesche, wenn du willst (C:\Software\Filesharing\imesh.exe)
das ist Spyware, die mit dem Programm mitgeladen wird, )

dann scanne noch mal mit eScan , bis alles sauber ist (ausser den Symantec-Eintraegen, die bleiben)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.12.2004, 23:45
...neu hier

Beiträge: 10
#12 ?? Sry etz bin ich überfordert

Schritt 2 und 3 sind mir ansich klar nur gibt es da keine index.dat ?? oder bin ich etze total doof geworden ?!?! Muß ich da etze alles rauslöschen was da so drin steht ?? net das ich asuversehen dann was falsches lösche das am ende wichtig ist !! kenn mich mit dem zeug einfach gar nicht aus sry wegen meiner unfähigkeit *g* !!
Seitenanfang Seitenende
23.12.2004, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 -----------------------------------------------------------------------------
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

sorry, mein Fehler

C:\DOKUME~1\Besitzer\LOKALE~1\Temp
C:\Dokumente und Einstellungen\Besitzer\.jpi_cache\
loesche einfach alles (nur nicht den Ordner selbst)...da ist die Malware versammelt
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.12.2004 um 23:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.12.2004, 01:36
...neu hier

Beiträge: 10
#14 ok hab das etz gemacht !! scan kann ich heute keinen mehr machen meine nerven liegen blank und ich muß ins bett *g* vielen dank sabina für die schnelle und tolle hilfe !! echt super *thumbs up*
ist das dann auch wirklich alles wech dann ??
Seitenanfang Seitenende
24.12.2004, 01:47
...neu hier

Beiträge: 10
#15 ach ups total vergessen - Fröhliche Weihnachten und ein schönes Fest !!
Seitenanfang Seitenende