topantispyware.com läßt sich nicht entfernen

#0
08.04.2005, 23:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#76 Hallo@maphidal

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Start<Ausfuehren<regedit

+HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

suche und loesche:Speedy.bat

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

falls du es findest:loeschen:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html loeschen

Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2005, 14:51
...neu hier

Beiträge: 3
#77 Hallo Sabina

Ich habe deine Anleitung durchgearbeitet und hier ist das Ergebnis der Online-Scans. Lediglich Panda-Scan hat noch etwas gefunden:

Incident Status Location

Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Re: Mailer Error -SMTP: 8268\Auto_Mail.com
Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Mailer-Fehler\Auto_Mail2127.com
Adware:Adware/BHO No disinfected C:\Temp\hiijackthis\backups\backup-20050402-075626-178.dll
Adware:Adware/BHO No disinfected C:\Temp\hiijackthis\backups\backup-20050402-075626-868.dll
Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Re: Mailer Error -SMTP: 8268\Auto_Mail.com
Virus:W32/Sober.I.worm Renamed Persönliche Ordner\Gelöschte Objekte\Mailer-Fehler\Auto_Mail2127.com

Das Hoster-Tool hat ja ganz schön aufgeräumt, auch die Einträge, welche für die Rechner in der Firma eingetragen waren. Wie könnte ich diese wieder eintragen, falls sie benötigt werden?

Danke bestens für die Unterstützung! Ist toll!
Grüsse tomywe
Seitenanfang Seitenende
10.04.2005, 17:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
10.04.2005, 20:15
...neu hier

Beiträge: 10
#79 Hallo Sabina,

erstmal vielen Dank für die tolle Hilfe, das DESKTOP hat wieder seine richtige Farbe, habe alles nach Anweisung gemacht, kam mir dabei aber vor wie ein Fahrprüfling bei der praktischen Prüfung nach der ersten Stunde Theorie - anbei jetzt noch die Ergebnisse von eScan wobei das rauskopieren nicht so geklappt hat:

[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:51:856 :ModuleName = C:\DOKUME~1\Daniel\LOKALE~1\Temp\mwavscan.com
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:51:856 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:54:500 :priority : NORMAL
[msvLclnt.dll] [0x00000fb4] 10/04/2005 19:17:55:582 :VirusCount = 125034 Latest Date = 2005/04/07
[msvLclnt.dll] [0x00000094] 10/04/2005 19:20:02:675 :[00000001] File C:\WINDOWS\sasent.dll infected by Trojan.Win32.Dialer.bi
[msvLclnt.dll] [0x00000094] 10/04/2005 19:20:02:795 :[00000001] File C:\WINDOWS\sasetup.dll infected by Trojan.Win32.Dialer.bi
[msvLclnt.dll] [0x00000094] 10/04/2005 19:21:37:521 :[00000001] File C:\WINDOWS\System32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.i
[msvLclnt.dll] [0x00000094] 10/04/2005 19:21:43:369 :[00000001] File C:\WINDOWS\System32\txfdb32.dll infected by Trojan.Win32.TopAntiSpyware.i
[msvLclnt.dll] [0x00000094] 10/04/2005 19:22:27:443 :VirusCount = 125034 Latest Date = 2005/04/07
:
hier noch das log von hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 19:31:52, on 10.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.731\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HRInstmon.dll
O23 - Service: AVSync Manager (AvSynMgr) - AVM GmbH - (no file)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McShield - Unknown owner - (no file)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ich hoffe ich bin wieder clean gruß Daniel
Seitenanfang Seitenende
10.04.2005, 22:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#80 Hallo@maphidal

Fixe mit dem HijackThis:

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O23 - Service: McShield - Unknown owner - (no file)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe
C:\WINDOWS\sasent.dll
C:\WINDOWS\sasetup.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\txfdb32.dll

PC neustarten

---------------------------------------------------------------------------------------------------------------------------------------

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen

Download the beta* of our new anti-spyware software today
http://www.microsoft.com/athome/security/spyware/software/default.mspx

•RAV ANTIVIRUS SCAN ONLINE
http://www.ravantivirus.com/scan/index.php
(berichte vom Scan)

-------------

Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

www.windowsupdate.com

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 22:00
...neu hier

Beiträge: 3
#81 Hallo Sabina

Ich habe seit 2 Wochen den Virus auch bei mir auf dem PC. Ích bin auf die angegebene Seite gegangen und habe von dort das "Clear"-Programm geladen und ausgeführt. Seitdem funktioniert mein Computer wieder "normal", nur das er ca. 5 Minuten braucht um hoch zu fahren.
Ich habe mir den NOD32 Scanner runtergeladen, der konnte jedoch nichts finden. Danach habe ich mir den HijackThis runtergeladen. Hier ist der LogFile:
Kannst du da was finden? Wäre wirklich sehr nett wenn du mir helfen könntest und schon einmal danke im Voraus.

Logfile of HijackThis v1.99.1
Scan saved at 21:39:03, on 11.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ESET\nod32.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\David\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://x-search.cc/search.php?v=6&aff=380898
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://x-search.cc/index.php?v=6&aff=380898
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.toysrus.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.toysrus.de/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/275d6d4e5f383513da18/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Mfg Dajo
Seitenanfang Seitenende
12.04.2005, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#82 Hallo@Dajo

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://x-search.cc/search.php?v=6&aff=380898
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://x-search.cc/index.php?v=6&aff=380898
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.10/dl/101/DE648_100.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

suche und loesche:Speedy.bat

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

falls du es findest:loeschen:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
(berichte vom Scann)

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.04.2005, 23:15
...neu hier

Beiträge: 10
#83 Hallo Sabina,

folgende Einträge konnte ich nicht finden:

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Daniel\LOKALE~1\Temp\delus.exe

und

O23 - Service: McShield - Unknown owner - (no file)

sowie

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen

konnte ich nicht finden und somit auch nicht löschen,

MS beta sowie SP 2 habe ich runtergeladen, bei RAV ANTIVIRUS SCAN ONLINE
versteh ich nicht - da ich jeden File wohl extra scannen soll!?
anbei nochmals log von HijackThis - OK? hoffe das jetzt alles i.O.

Logfile of HijackThis v1.99.1
Scan saved at 23:06:50, on 12.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX07.679\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C392029-263B-4FA7-B9AE-307A165C6554}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HRInstmon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVSync Manager (AvSynMgr) - AVM GmbH - (no file)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank nochmals für die tolle Hilfe Gruß Daniel
Seitenanfang Seitenende
12.04.2005, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#84 Hallo@maphidal

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

such noch mal-->
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe<--loeschen


Start--> Ausfuehren--> cmd-


reinkopieren:

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

poste alles, was im Editor erscheint

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

berichte von den Onlinescanns
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.04.2005, 22:03
...neu hier

Beiträge: 10
#85 Hallo Sabina,

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\delus.exe


konnte ich immer noch nicht finden!?

außer DELUS in C:\Programme \ AV Personal und DELUS.EXE-21251B92pf in C.\ WINDOWS\Prefetch ist es das, ließ sich komischerweise weder ausschneiden noch kopieren!!

Im Anhang alles was im Editor ist, ziemlich viel virus, troj und malw drin - schlimm?


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10C4-DFFB

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

13.04.2005 16:02 32.768 ~DFD809.tmp
13.04.2005 16:02 32.768 ~DF93E4.tmp
13.04.2005 16:01 32.768 ~DF9C56.tmp
13.04.2005 16:01 32.768 ~DF7EA1.tmp
13.04.2005 12:22 16.384 ~DF8EFA.tmp
13.04.2005 12:22 512 ~DF7549.tmp
13.04.2005 12:22 16.384 ~DF7538.tmp
13.04.2005 12:16 32.768 ~DFA418.tmp
13.04.2005 12:16 32.768 ~DF8D80.tmp
13.04.2005 08:39 32.768 ~DF9305.tmp
13.04.2005 08:39 32.768 ~DF5372.tmp
12.04.2005 22:22 32.768 ~DF849.tmp
12.04.2005 22:22 32.768 ~DFF5C8.tmp
12.04.2005 22:11 32.768 ~DF5FED.tmp
12.04.2005 22:10 32.768 ~DFEFC9.tmp
12.04.2005 21:41 905 kb.log
12.04.2005 21:38 16.384 ~DF3E78.tmp
12.04.2005 21:33 4.096.000 Acr311.tmp
12.04.2005 20:42 0 Acr30F.tmp
12.04.2005 20:42 179 Acr303.tmp
12.04.2005 20:42 426 Acr305.tmp
12.04.2005 18:30 16.384 ~DFE714.tmp
12.04.2005 18:30 512 ~DFCB34.tmp
12.04.2005 18:30 16.384 ~DFCB0A.tmp
11.04.2005 19:36 16.384 ~DF36F.tmp
11.04.2005 19:36 16.384 ~DFEE11.tmp
10.04.2005 19:31 361.985 MWAV.LOG
10.04.2005 19:31 1.413 mwXface.log
10.04.2005 18:59 0 license.lck
10.04.2005 18:14 16.384 ~DF6AC5.tmp
10.04.2005 17:04 16.384 ~DF65C7.tmp
10.04.2005 17:04 42.819 KillBox.zip
10.04.2005 15:25 337.688 az21.tmp
10.04.2005 15:25 12.242 az20.tmp
10.04.2005 15:21 337.688 az16.tmp
10.04.2005 15:21 12.242 az15.tmp
10.04.2005 15:09 337.688 azE.tmp
10.04.2005 15:09 12.242 azD.tmp
10.04.2005 15:07 337.688 az7.tmp
10.04.2005 15:07 12.242 az6.tmp
10.04.2005 15:04 337.688 az5.tmp
10.04.2005 15:04 12.242 az4.tmp
09.04.2005 15:26 16.384 ~DF7A29.tmp
09.04.2005 15:25 512 ~DF46C5.tmp
09.04.2005 15:25 16.384 ~DF45FA.tmp
09.04.2005 12:50 16.384 ~DF7243.tmp
09.04.2005 12:50 16.384 ~DF530A.tmp
09.04.2005 08:29 16.384 ~DFD622.tmp
09.04.2005 08:29 16.384 ~DFC505.tmp
08.04.2005 09:44 10.012 avp.klb
08.04.2005 09:44 40.012 daily.avc
08.04.2005 09:44 55.548 unp006.avc
07.04.2005 22:18 176.704 mwavscan.com
07.04.2005 21:59 48.396 unp020.avc
07.04.2005 21:59 41.612 unp021.avc
07.04.2005 21:49 26.744 krnengn.avc
07.04.2005 21:49 79.137 virus017.avc
07.04.2005 21:49 51.769 troj011.avc
07.04.2005 21:49 48.855 ext003.avc
07.04.2005 21:49 61.576 krnunp.avc
07.04.2005 21:49 47.611 krnexe32.avc
07.04.2005 21:49 69.460 unp004.avc
07.04.2005 21:49 74.260 virus014.avc
07.04.2005 21:49 77.380 virus012.avc
07.04.2005 21:49 80.738 virus016.avc
07.04.2005 21:49 19.935 troj025.avc
07.04.2005 16:58 16.384 ~DF9979.tmp
07.04.2005 16:58 16.384 ~DF7C4A.tmp
07.04.2005 03:42 1.602 ViewTcp.lan
07.04.2005 03:40 348.160 viewtcp.exe
06.04.2005 14:27 118.784 esupdate.exe
06.04.2005 12:32 88.029 krnmacro.avc
06.04.2005 12:32 52.205 worm003.avc
06.04.2005 12:32 50.244 troj021.avc
04.04.2005 12:48 174.592 license.exe
02.04.2005 12:44 16.384 ~DFAEE4.tmp
02.04.2005 10:02 8.386 kernel.avc
01.04.2005 18:17 46.306 unp022.avc
01.04.2005 18:17 56.388 troj024.avc
01.04.2005 18:17 55.697 troj023.avc
01.04.2005 18:17 49.996 troj019.avc
01.04.2005 18:17 76.673 virus015.avc
01.04.2005 18:17 3.369 ext004.avc
01.04.2005 18:17 10.671 fa.avc
01.04.2005 18:17 42.349 worm005.avc
01.04.2005 18:17 1.381 avp.set
01.04.2005 18:17 5.531 malw004.avc
01.04.2005 18:17 13.389 virus020.avc
01.04.2005 13:42 38.493 unp012.avc
01.04.2005 13:42 56.806 troj022.avc
30.03.2005 10:00 7.524 config.lan
26.03.2005 18:17 56.790 unp001.avc
26.03.2005 18:17 26.591 gen999.avc
26.03.2005 18:17 39.820 gen003.avc
26.03.2005 18:17 38.460 gen001.avc
26.03.2005 18:17 27.398 x-files.avc
26.03.2005 18:17 50.865 troj014.avc
24.03.2005 15:52 106.496 msvlclnt.dll
24.03.2005 15:51 53.248 KAVUpd.exe
24.03.2005 15:50 35.392 Getvlist.exe
24.03.2005 10:11 50.437 ext002.avc
24.03.2005 10:11 48.413 malw003.avc
22.03.2005 17:17 49.467 ext001.avc
21.03.2005 22:23 49.516 troj012.avc
19.03.2005 11:56 59.987 malw001.avc
19.03.2005 11:56 18.619 gen004.avc
19.03.2005 11:56 54.853 malw002.avc
19.03.2005 11:56 47.493 gen002.avc
19.03.2005 11:56 74.908 unp016.avc
19.03.2005 11:56 61.036 ca.avc
17.03.2005 10:10 75.187 virus008.avc
17.03.2005 10:10 83.771 unp019.avc
17.03.2005 10:10 74.227 virus010.avc
16.03.2005 10:42 51.394 troj006.avc
16.03.2005 10:42 11.816 ocr.avc
16.03.2005 10:42 50.735 troj016.avc
16.03.2005 10:42 50.108 troj013.avc
16.03.2005 10:42 76.795 virus018.avc
12.03.2005 00:20 1.871 eicar.avc
12.03.2005 00:20 17.719 ext999.avc
12.03.2005 00:20 50.073 troj001.avc
10.03.2005 22:22 58.860 unp014.avc
10.03.2005 22:22 64.590 unp015.avc
10.03.2005 22:22 93.464 unp013.avc
10.03.2005 22:22 37.667 unp017.avc
10.03.2005 22:22 58.283 unp018.avc
10.03.2005 22:22 56.119 unp011.avc
10.03.2005 22:22 70.968 unp010.avc
10.03.2005 22:22 51.942 unp009.avc
10.03.2005 22:22 57.219 unp008.avc
10.03.2005 22:22 81.687 unp007.avc
10.03.2005 22:22 63.362 unp005.avc
10.03.2005 22:22 55.572 unp003.avc
10.03.2005 22:22 76.584 virus001.avc
10.03.2005 22:22 76.504 virus002.avc
10.03.2005 22:22 73.721 virus003.avc
10.03.2005 22:22 78.954 virus004.avc
10.03.2005 22:22 73.431 virus005.avc
10.03.2005 22:22 76.112 virus006.avc
10.03.2005 22:22 74.126 virus007.avc
10.03.2005 22:22 72.265 unp002.avc
10.03.2005 22:22 71.437 virus009.avc
10.03.2005 22:22 50.249 troj020.avc
10.03.2005 22:22 78.459 virus011.avc
10.03.2005 22:22 50.512 troj018.avc
10.03.2005 22:22 78.232 virus013.avc
10.03.2005 22:22 50.193 troj017.avc
10.03.2005 22:22 50.040 troj015.avc
10.03.2005 22:22 50.694 troj010.avc
10.03.2005 22:22 50.908 troj009.avc
10.03.2005 22:22 50.681 troj007.avc
10.03.2005 22:22 63.152 virus019.avc
10.03.2005 22:22 51.483 troj005.avc
10.03.2005 22:22 52.446 troj004.avc
10.03.2005 22:22 50.249 worm001.avc
10.03.2005 22:22 52.478 worm002.avc
10.03.2005 22:22 57.800 troj003.avc
10.03.2005 22:22 53.750 worm004.avc
10.03.2005 22:22 51.820 troj002.avc
10.03.2005 22:22 5.333 worm999.avc
10.03.2005 22:22 5.110 smart.avc
10.03.2005 22:22 14.113 mail.avc
10.03.2005 22:22 37.618 krnjava.avc
10.03.2005 22:22 32.151 krnexe.avc
10.03.2005 22:22 5.274 krndos.avc
10.03.2005 22:22 6.582 avp.vnd
10.03.2005 22:22 50.495 troj008.avc
10.03.2005 20:45 26.263 krnengn.old
19.02.2005 16:55 37.321 language.ini
09.02.2005 12:39 1.025 0006C9D5.key
07.02.2005 22:27 8.409 kernel.old
28.12.2004 19:02 1.714 sysr.txt
11.11.2004 13:36 143.416 kavss.dll
05.11.2004 16:38 159.865 kavssd.dll
05.11.2004 16:20 36.921 kavssi.dll
19.08.2004 02:09 2.511 mwav.ini
18.08.2004 12:05 102.481 kavvlg.dll
17.08.2004 18:26 53.306 kavssdi.dll
17.08.2004 17:24 20.536 kavss.exe
17.08.2004 17:24 20.536 kavss.dat
18.07.2004 03:58 788 MicroWorld Toolkit Utility.txt
15.01.2004 18:46 15.680 product.bmp
24.12.2003 14:19 58.536 about.bmp
24.12.2003 14:19 58.536 bitmap1.bmp
07.10.2003 16:58 98.304 kavsign.exe
03.09.2003 13:23 294.912 KAVUpd.dll
30.05.2003 17:04 9.216 virus.avi
13.03.2003 16:16 313 mwti.sgn
13.03.2003 16:16 304 keyid.dat
01.03.2003 14:20 7.946 main.avi
14.02.2003 16:12 4 WIN.PRO
11.07.2002 14:34 36.928 ipc.dll
11.04.2001 18:28 54.784 SET1097.tmp
14.10.1996 07:08 173.328 riched32.dll
194 Datei(en) 14.699.422 Bytes
0 Verzeichnis(se), 847.994.880 Bytes frei
online scann hole ich noch nach-danke erstmal wieder für heute für deine tolle Unterstützung Gruß Daniel
Seitenanfang Seitenende
14.04.2005, 20:24
...neu hier

Beiträge: 3
#86 Hallo Sabina
Vielen Dank für deine Hilfe. Deine Tips haben wirklich gut geholfen, nur
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
Speedy.bat
konnte ich nicht finden, aber mein PC startet wieder ganz normal.

E-Scan hat folgende Dateien gefunden:

Wed Apr 13 22:33:00 2005 => System found infected with Alexa Spyware/Adware
Wed Apr 13 22:33:00 2005 => File System Found infected by "Alexa Spyware/Adware" Virus.
Wed Apr 13 22:33:12 2005 => File C:\WINDOWS\System32\bmk13.exe infected by "Trojan-Clicker.Win32.Small.em" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:33:29 2005 => File C:\WINDOWS\System32\fbarinstall.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:33:29 2005 => File C:\WINDOWS\System32\fbaruninst.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:33:30 2005 => File C:\WINDOWS\System32\fsearchbar.dll infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:34:17 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:34:18 2005 => File C:\WINDOWS\System32\supd130105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:34:18 2005 => File C:\WINDOWS\System32\supd160105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:34:22 2005 => File C:\WINDOWS\System32\ucs44.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:34:34 2005 => File C:\WINDOWS\System32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\David\LOKALE~1\TEMPOR~1\Content.IE5\WLUJ85IN\infected6xz[1].gif [**]
Wed Apr 13 22:34:55 2005 => Scanning File
Einstellungen\Temporary Internet Files\Content.IE5\WLUJ85IN\infected6xz[1].gif [**]
Wed Apr 13 22:36:51 2005 => Scanning File C:\Dokumente und Einstellungen\David\Lokale
Wed Apr 13 22:40:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Apr 13 22:47:06 2005 => File C:\Programme\STHomePage\STHomePage2.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:47:06 2005 => File C:\Programme\STHomePage\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:47:06 2005 => File C:\Programme\STLinks\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP172\A0041669.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP173\A0041700.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP174\A0041731.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP179\A0041938.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043115.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043116.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP184\A0043120.dll infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP185\A0043270.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP185\A0043271.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP188\A0043393.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043772.exe infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043783.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP194\A0043784.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP223\A0051855.dll infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP223\A0051868.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken.
Information\_restore{0E59A592-D0DC-4BBD-A816-CAAEDC265D9A}\RP234\A0053237.exe infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:51:26 2005 => File C:\WINDOWS\system32\bmk13.exe infected by "Trojan-Clicker.Win32.Small.em" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:53:44 2005 => File C:\WINDOWS\system32\fbarinstall.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:53:44 2005 => File C:\WINDOWS\system32\fbaruninst.exe infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:53:45 2005 => File C:\WINDOWS\system32\fsearchbar.dll infected by "not-a-virus:AdWare.FSBar.a" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:54:43 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.i" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:54:44 2005 => File C:\WINDOWS\system32\supd130105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:54:44 2005 => File C:\WINDOWS\system32\supd160105.exe infected by "Trojan-Downloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:54:48 2005 => File C:\WINDOWS\system32\ucs44.exe infected by "Backdoor.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Wed Apr 13 22:55:07 2005 => File C:\WINDOWS\system32\xplugin.dll infected by "Trojan-Downloader.Win32.Esepor.ac" Virus. Action Taken: No Action Taken.

Und beim Online Scan (Panda) kam folgendes heraus:

Incident Status Location
Adware:Adware/XPlugin No disinfected C:\WINDOWS\System32\xplugin.dll
Adware:Adware/STIEBar No disinfected C:\Programme\STHomePage
Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\System32\srpcsrv32.dll
Adware:Adware/BHO No disinfected C:\Programme\STHomePage\STHomePage2.dll
Virus:Trj/StartPage.QB Disinfected C:\WINDOWS\system32\bmk13.exe
Spyware:Spyware/FSBar No disinfected C:\WINDOWS\system32\fbarinstall.exe
Spyware:Spyware/FSBar No disinfected C:\WINDOWS\system32\fbaruninst.exe Adware:Adware/CWS.Searchmeup No disinfected C:\WINDOWS\system32\srpcsrv32.dll
Adware:Adware/XPlugin No disinfected C:\WINDOWS\system32\supd130105.exe
Adware:Adware/XPlugin No disinfected C:\WINDOWS\system32\supd160105.exe
Virus:Backdoor Program Disinfected C:\WINDOWS\system32\ucs44.exe

Ich hoffe du kannst mir nochmal helfen und nochmal vielen Dank

Mfg Dajo
Seitenanfang Seitenende
15.04.2005, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#87 Hallo@Dajo

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\fbarinstall.exe
C:\WINDOWS\system32\fbaruninst.exe
C:\WINDOWS\system32\fsearchbar.dll
C:\WINDOWS\System32\xplugin.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\system32\bmk13.exe
C:\WINDOWS\system32\fbarinstall.exe
C:\WINDOWS\system32\fbaruninst.exe
C:\WINDOWS\system32\srpcsrv32.dll
C:\WINDOWS\system32\supd130105.exe
C:\WINDOWS\system32\supd160105.exe
C:\WINDOWS\system32\supd130105.exe
C:\WINDOWS\system32\ucs44.exe
C:\WINDOWS\system32\ucs44.exe
C:\WINDOWS\system32\bmk13.exe
C:\WINDOWS\System32\ucs44.exe

C:\Programme\STHomePage
C:\Programme\STLinks\uninst.exe
C:\Programme\STHomePage\uninst.exe
C:\Programme\STHomePage\STHomePage2.dll

neustarten

scanne noch mal mit escan, loesche alles , was infected ist und aktiviere wieder die Wiederherstellung.

dann poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 00:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#88 Hallo@maphidal

#Ad-aware SE Personal 1.05 Updated

http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2005, 12:20
...neu hier

Beiträge: 5
#89 hallo sabina
habe letztendlich mein system neuaufgesetzt..
trotzdem auf diesem wege nochmal ein fettes Dankeschön für deine Mühe
gruss
maddin
Seitenanfang Seitenende
17.04.2005, 18:55
...neu hier

Beiträge: 10
#90 hallo sabina,

hier das Ergebnis von Ad-aware, das gleiche habe ich auch mit NOD 32 und AntiVir gemacht


Ad-Aware SE Build 1.05
Logfile Created on:Sonntag, 17. April 2005 16:45:53
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R39 15.04.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):43 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


17.04.2005 16:45:53 - Scan started. (Smart mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 672
ThreadCreationTime : 17.04.2005 14:42:02
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 720
ThreadCreationTime : 17.04.2005 14:42:04
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 744
ThreadCreationTime : 17.04.2005 14:42:05
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 788
ThreadCreationTime : 17.04.2005 14:42:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 800
ThreadCreationTime : 17.04.2005 14:42:05
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 960
ThreadCreationTime : 17.04.2005 14:42:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1004
ThreadCreationTime : 17.04.2005 14:42:06
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1164
ThreadCreationTime : 17.04.2005 14:42:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1224
ThreadCreationTime : 17.04.2005 14:42:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1300
ThreadCreationTime : 17.04.2005 14:42:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [lexbces.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1620
ThreadCreationTime : 17.04.2005 14:42:10
BasePriority : Normal
FileVersion : 7.1
ProductVersion : 7.1
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LexBce Service
InternalName : LexBce Service
LegalCopyright : (C) 1993 - 2001 Lexmark International, Inc.
OriginalFilename : LexBceS.exe

#:12 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1724
ThreadCreationTime : 17.04.2005 14:42:10
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:13 [lexpps.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1732
ThreadCreationTime : 17.04.2005 14:42:10
BasePriority : Normal
FileVersion : 7.1
ProductVersion : 7.1
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LEXPPS.EXE
InternalName : LEXPPS
LegalCopyright : (C) 1993 - 2001 Lexmark International, Inc.
OriginalFilename : LEXPPS.EXE
Comments : MarkVision for Windows '95 New P2P Server (32-bit)

#:14 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1768
ThreadCreationTime : 17.04.2005 14:42:10
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:15 [speedmgr.exe]
FilePath : C:\PROGRA~1\T-DSLS~1\
ProcessID : 2032
ThreadCreationTime : 17.04.2005 14:42:12
BasePriority : Normal


#:16 [zlclient.exe]
FilePath : C:\Programme\Zone Labs\ZoneAlarm\
ProcessID : 2040
ThreadCreationTime : 17.04.2005 14:42:12
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : Zone Labs Client
CompanyName : Zone Labs Inc.
FileDescription : Zone Labs Client
InternalName : zlclient
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : zlclient.exe

#:17 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 172
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal
FileVersion : 0.1.0.3018
ProductVersion : 0.1.0.3018
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:18 [nod32kui.exe]
FilePath : C:\Programme\Eset\
ProcessID : 192
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal


#:19 [gcasserv.exe]
FilePath : C:\Programme\Microsoft AntiSpyware\
ProcessID : 200
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Idle
FileVersion : 1.00.0509
ProductVersion : 1.00.0509
ProductName : Microsoft AntiSpyware (Beta 1)
CompanyName : Microsoft Corporation
FileDescription : Microsoft AntiSpyware Service
InternalName : gcasServ
LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
OriginalFilename : gcasServ.exe

#:20 [avgnt.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 164
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal


#:21 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 208
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:22 [fritzdsl.exe]
FilePath : C:\Programme\FRITZ!DSL\
ProcessID : 232
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal
FileVersion : 3.04 / 1.06
ProductVersion : FRITZ!web DSL
ProductName : FRITZ!
CompanyName : AVM Berlin
FileDescription : FRITZ!web DSL
InternalName : FRITZ!web DSL
LegalCopyright : Copyright © AVM Berlin
OriginalFilename : FritzDsl.exe

#:23 [fwebprot.exe]
FilePath : C:\Programme\FRITZ!DSL\
ProcessID : 244
ThreadCreationTime : 17.04.2005 14:42:13
BasePriority : Normal


#:24 [rundll32.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 264
ThreadCreationTime : 17.04.2005 14:42:14
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eine DLL-Datei als Anwendung ausführen
InternalName : rundll
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : RUNDLL.EXE

#:25 [gcasdtserv.exe]
FilePath : C:\Programme\Microsoft AntiSpyware\
ProcessID : 568
ThreadCreationTime : 17.04.2005 14:42:15
BasePriority : Normal
FileVersion : 1.00.0509
ProductVersion : 1.00.0509
ProductName : Microsoft AntiSpyware (Beta 1)
CompanyName : Microsoft Corporation
FileDescription : Microsoft AntiSpyware Data Service
InternalName : gcasDtServ
LegalCopyright : Copyright © 2004-2005 Microsoft Corporation. All rights reserved.
LegalTrademarks : Microsoft® and Windows® are registered trademarks of Microsoft Corporation. SpyNet(tm) is a trademark of Microsoft Corporation.
OriginalFilename : gcasDtServ.exe

#:26 [avguard.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 716
ThreadCreationTime : 17.04.2005 14:42:22
BasePriority : Normal


#:27 [avwupsrv.exe]
FilePath : C:\Programme\AVPersonal\
ProcessID : 704
ThreadCreationTime : 17.04.2005 14:42:22
BasePriority : Normal


#:28 [nod32krn.exe]
FilePath : C:\Programme\Eset\
ProcessID : 1048
ThreadCreationTime : 17.04.2005 14:42:23
BasePriority : Normal


#:29 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 836
ThreadCreationTime : 17.04.2005 14:42:29
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:30 [wdfmgr.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1572
ThreadCreationTime : 17.04.2005 14:42:30
BasePriority : Normal
FileVersion : 5.2.3790.1230 built by: DNSRV(bld4act)
ProductVersion : 5.2.3790.1230
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows User Mode Driver Manager
InternalName : WdfMgr
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : WdfMgr.exe

#:31 [vsmon.exe]
FilePath : C:\WINDOWS\system32\ZoneLabs\
ProcessID : 1564
ThreadCreationTime : 17.04.2005 14:42:31
BasePriority : Normal
FileVersion : 5.1.039.004
ProductVersion : 5.1.039.004
ProductName : TrueVector Service
CompanyName : Zone Labs Inc.
FileDescription : TrueVector Service
InternalName : vsmon
LegalCopyright : Copyright © 1998-2004, Zone Labs Inc.
OriginalFilename : vsmon.exe

#:32 [wuauclt.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1924
ThreadCreationTime : 17.04.2005 14:42:32
BasePriority : Normal
FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)
ProductVersion : 5.4.3790.2182
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Automatische Updates
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

#:33 [tsmsvc.exe]
FilePath : C:\Programme\T-DSL SpeedManager\
ProcessID : 2556
ThreadCreationTime : 17.04.2005 14:42:38
BasePriority : Normal


#:34 [alg.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2852
ThreadCreationTime : 17.04.2005 14:42:39
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Application Layer Gateway Service
InternalName : ALG.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ALG.exe

#:35 [wmiapsrv.exe]
FilePath : C:\WINDOWS\System32\wbem\
ProcessID : 3356
ThreadCreationTime : 17.04.2005 14:42:47
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : WMI-Leistungsadapter-Dienst
InternalName : WmiApSrv.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : WmiApSrv.exe

#:36 [wmiprvse.exe]
FilePath : C:\WINDOWS\System32\wbem\
ProcessID : 3376
ThreadCreationTime : 17.04.2005 14:42:47
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI
InternalName : Wmiprvse.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Wmiprvse.exe

#:37 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 3688
ThreadCreationTime : 17.04.2005 14:43:45
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:38 [iexplore.exe]
FilePath : C:\Programme\Internet Explorer\
ProcessID : 3852
ThreadCreationTime : 17.04.2005 14:45:00
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Internet Explorer
InternalName : iexplore
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : IEXPLORE.EXE

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0



Deep scanning and examining files...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Disk Scan Result for C:\DOKUME~1\Daniel\LOKALE~1\Temp\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 0



MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\microsoft\office\recent
Description : list of recently opened documents using microsoft office


MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\Daniel\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\nvidia corporation\global\nview\windowmanagement
Description : nvidia nview cached application window positions


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\search assistant\acmru
Description : list of recent search terms used with the search assistant


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\11.0\publisher\recent file list
Description : list of recent files used by microsoft publisher


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer\main
Description : last save directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\10.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last cd record path used in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\player\settings
Description : last open directory used in jasc paint shop pro


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\directinput\mostrecentapplication
Description : most recent application to use microsoft directinput


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-19\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-20\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\ahead\cover designer\recent file list
Description : list of recently used files in ahead cover designer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\office\11.0\common\general
Description : list of recently used symbols in microsoft office


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\preferences
Description : last search path used in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\winrar\dialogedithistory\extrpath
Description : winrar "extract-to" history


MRU List Object Recognized!
Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general
Description : windows media sdk


MRU List Object Recognized!
Location: : S-1-5-21-725345543-1935655697-1343024091-1003\software\microsoft\windows media\wmsdk\general
Description : windows media sdk



Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 43

16:47:45 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:51.981
Objects scanned:60566
Objects identified:0
Objects ignored:0
New critical objects:0

hier noch das Ergebins von NOD32

C:\hiberfil.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
C:\pagefile.sys - Fehler (Dateizugriff gesperrt) beim Öffnen. [4]
[4] Die Datei kann nicht geöffnet werden. Sie ist in exklusiver Benutzung durch eine andere Anwendung.

und hier noch AntiVir

Erstellungsdatum der Reportdatei: Sonntag, 17. April 2005 17:03

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.107 (0) vom 17.04.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 160178 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 2)
Benutzername: Daniel
Computername: DANIEL
Prozessor: Pentium
Arbeitsspeicher: 392668 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.8 323664 23.03.2005 16:35:52
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.100 1065000 15.04.2005 20:55:42
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 18.08.2001 14:00:00
MFC42.DLL : 6.02.4131.0 1028096 04.08.2004 09:57:24
MSVCRT.DLL : 7.0.2600.2180 (xpsp_sp2_rtm.0408
MSVCRT.DLL : 7.0.2600.2180 343040 04.08.2004 09:57:28
CTL3DV2.DLL : 2.29.000 26992 03.03.1995 00:00:00

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\Daniel\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: CDRom

Start des Suchlaufs: Sonntag, 17. April 2005 17:03

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
hiberfil.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AbetterInternet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AbetterInternet1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AbetterInternet2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CallingHomebiz.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CallingHomebiz1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CallingHomebiz2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CallingHomebiz3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CallingHomebiz4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ConsulInfoBV.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearch.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearch1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearch2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearch3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ErrorGuard.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ErrorGuard1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ErrorGuard2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ErrorGuard3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MyWayMyBar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TIBS.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TIBS1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebInstall5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WildTangent9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WX81EP2L
popcaploader_v5[1].cab
ArchiveType: CAB (Microsoft)
--> PopCapLoader.dll
[FUND!] Ist das Trojanische Pferd TR/Hijack.PopCapLoa
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\TEMP\Treiber Bord
buma850i.exe
ArchiveType: ZIP SFX (self extracting)
--> 2.80.exe
ArchiveType: ACE SFX (self extracting)
--> setupdir
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0006
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0007
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0009
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\000a
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\000b
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0010
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0011
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0012
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0013
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0014
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0015
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0019
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\001d
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\001e
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0404
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\040c
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0416
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0804
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0809
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0816
WARNUNG! Fehler beim Öffnen der Datei
--> setupdir\0c0c
WARNUNG! Fehler beim Öffnen der Datei
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
ZLT041d1.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Sonntag, 17. April 2005 17:22
Benötigte Zeit: 19:37 min


2842 Verzeichnisse wurden durchsucht
34567 Dateien wurden geprüft
30 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

so das wärs, nochmals vielen Dank für deine Engelsgeduld Gruß Daniel
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »