Home » Viren, Trojaner & Malware Forum » Backdoorprogramm BDS/Agent.AY » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2 3

Antworten

Backdoorprogramm BDS/Agent.AY

02.03.2005, 04:35

Forty1983

...neu hier

Beiträge: 4

#16 hallo, bin ein absoluter nixwisser bei solchen sachen und überlege mir schon einen neuen rechner zu holen aber dafür hab ich leider kein geld ... hab das glecihe problem wie der heiko nur weiss ich noch net ma was ich dann mit dem HJT log machn soll

Logfile of HijackThis v1.99.1
Scan saved at 04:13:56, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
D:\spiele\hl\steam\steam.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Avant Browser\avant.exe
C:\DOKUME~1\Forty\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.163/index.php?v=6&aff=2918704
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.163/index.php?v=6&aff=2918704
O2 - BHO: FBarStart Class - {044D9F9F-0EE0-4E9B-B89B-5EBCA0F852CC} - C:\WINDOWS\System32\fsearchbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Fast Search - {85E517D1-1B6B-4662-AF6E-4B9738091DCC} - C:\WINDOWS\System32\fsearchbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Steam] "d:\spiele\hl\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

02.03.2005, 08:36

Heron

Member

Beiträge: 1132

#17 Hallo Forty1983,

Du hast den Blaster-Wurm auf dem Rechner!

Windows und IE updaten auf www.windowsupdate.com

Blaster Removal Tool herunterladen
http://www.zdnet.de/downloads/prg/c/w/de0ECW-wc.html
System mit dem Tool scannen

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.163/index.php?v=6&aff=2918704
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.163/index.php?v=6&aff=2918704
O2 - BHO: FBarStart Class - {044D9F9F-0EE0-4E9B-B89B-5EBCA0F852CC} - C:\WINDOWS\System32\fsearchbar.dll
O3 - Toolbar: Fast Search - {85E517D1-1B6B-4662-AF6E-4B9738091DCC} - C:\WINDOWS\System32\fsearchbar.dll

Rechner neu starten

Lösche C:\WINDOWS\System32\fsearchbar.dll

Neue IE-Startseite einstellen und aktuelles HJT Log posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

Dieser Beitrag wurde am 02.03.2005 um 08:49 Uhr von Heron editiert.

02.03.2005, 08:58

Sabina

Ehrenmitglied

Beiträge: 29434

#18 Hallo@Forty1983

File: SPOOLSRV32.EXE
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.74 seconds taken)
Avast No viruses found (3.00 seconds taken)
AVG Antivirus Downloader.Small.25.H (1.20 seconds taken)
BitDefender Trojan.Downloader.Adload.C (0.85 seconds taken)
ClamAV No viruses found (1.17 seconds taken)
Dr.Web Trojan.Promospy (1.66 seconds taken)
F-Prot Antivirus No viruses found (0.17 seconds taken)
Fortinet W32/Nachi.fam (0.77 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c (1.07 seconds taken)
mks_vir No viruses found (0.25 seconds taken)
NOD32 Win32/TrojanDownloader.Adload.C (0.51 seconds taken)
Norman Virus Control No viruses found (0.75 seconds taken)
________________________________________________________________

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

Start<Ausfuehren<regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick

Damit er jedes Mal gestartet wird, wenn sich ein Benutzer anmeldet erstellt Troj/Small-OY die folgenden Registrierungseinträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Srv32 spool service
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Srv32 spool service

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://82.179.166.163/index.php?v=6&aff=2918704
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://82.179.166.163/index.php?v=6&aff=2918704
O2 - BHO: FBarStart Class - {044D9F9F-0EE0-4E9B-B89B-5EBCA0F852CC} - C:\WINDOWS\System32\fsearchbar.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O3 - Toolbar: Fast Search - {85E517D1-1B6B-4662-AF6E-4B9738091DCC} - C:\WINDOWS\System32\fsearchbar.dll
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe<--- BLASTER.E WORM
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe <---Trojan-Clicker.Win32.Spyre.b/Troj/Spyre-A

PC neustarten

Blaster Removal Tool herunterladen
http://www.zdnet.de/downloads/prg/c/w/de0ECW-wc.html
System mit dem Tool scannen

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\r.exe
C:\WINDOWS\System32\fsearchbar.dll
C:\WINDOWS\System32\WStart.dll
C:\WINDOWS\System32\mslaugh.exe
C:\WINDOWS\System32\spoolsrv32.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten--> in den abgesicherten Modus

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

Loesche:--> ueberpruefe, ob es noch existiert, nach dem Loeschen mit der Killbox
Speedy.bat
C:\r.exe
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\srpcsrv32.dll

falls du es findest:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

•BitDefender Scan
http://www.bitdefender.de/scan/licence.html
www.bitdefender.com/scan/Msie/index.php

•Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20

•Symantec Online Scan [nur mit IE moeglich]
http://security.symantec.com/SSC/GetBrowser.asp?pkj=HHIVBMRSJRFSKLUKUMX&langid=ie&venid=sym&plfid=00&from=/ssc/lunavbrk.asp

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

mache die WindowsUpdates !!!!

dann berichte von den Onlinescanns und poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

08.03.2005, 23:09

kandorar

...neu hier

Beiträge: 5

#19 hi
ich hab das gleiche problem mit dem bds agent, bin aber ne absolute null in
solchen sachen.
ich poste hier mal das hj file, hoffe ich mach das richtig und ich hoffe du kannst mir helfen.

Logfile of HijackThis v1.99.1
Scan saved at 23:07:14, on 8.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\Save\Save.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\WhenUSearch\Search.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WEATHE~1\Weather.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Florian\LOKALE~1\Temp\Temporäres Verzeichnis 7 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\tewozo.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
O4 - HKCU\..\Run: [WeatherCast] "C:\PROGRA~1\WEATHE~1\Weather.exe" /q
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//deathly/main.chm::/load.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B28C287A-521F-4DB2-AB13-AA4725F36D2D}: NameServer = 194.230.1.168 194.230.1.200
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

09.03.2005, 00:00

Sabina

Ehrenmitglied

Beiträge: 29434

#20 Hallo@kandorar

Willst du die Reinigung auf dich nehmen, oder nicht gleich lieber Windows neu formatieren?
Warte auf deine Antwort.....

Gruss
__________
MfG Sabina

rund um die PC-Sicherheit

09.03.2005, 22:10

kandorar

...neu hier

Beiträge: 5

#21 hi
wenns wirklich so schlimm aussieht werde ich ihn neu formatieren.
ich hab aber inzwischen mal ad aware und spybot s and d laufen lassen und verdammt viele sachen gelöscht.
Muss ich, wenn ich neu formatiere alles was ich nachher noch will auf cd brennen und nachher wieder draufladen oder gibt es was, das mit dies erleichtert?
kandi

10.03.2005, 00:13

Sabina

Ehrenmitglied

Beiträge: 29434

#22 Hallo@kandorar

du kannst ja mal im abgsicherten Modus mit escan scannen:
und mir dann alles rauskopieren:

•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

<"I know what I'm doing" <--anhaken
bringe die newdotnet6_38.dll
von der linken auf die rechte SEITE und loesche diese dll.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\system32\search.html
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\tewozo.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-ch\msntb.dll
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de-ch\msnappau.exe"
O4 - HKCU\..\Run: [CFDStart] C:\WINDOWS\WinMuschi.exe -m
O4 - HKCU\..\Run: [WeatherCast] "C:\PROGRA~1\WEATHE~1\Weather.exe" /q
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//deathly/main.chm::/load.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

starte neu-->gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loesche:
C:\WINDOWS\system32\search.html
C:\WINDOWS\system32\spnpinst.exe
C:\WINDOWS\system32\Sysocmgr.exe
C:\PROGRA~1\Save\ <--kompletten Ordner loeschen
C:\Programme\WhenUSearch\ <--kompletten Ordner loeschen
C:\WINDOWS\System32\tewozo.dll
C:\Program Files\webHancer\Programs\ <---kompletten Ordner loeschen
C:\WINDOWS\WinMuschi.exe
C:\Programme\Gemeinsame Dateien\GMT\ <--kompletten Ordner loeschen

deinstalliere:
webHancer
New.net (NewDotNet)
C:\Programme\MSN Apps (MSN Toolbar)

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Beim Start von e-scan sollten folgende Optionen aktiviert sein:

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•HOSTFILE:
#öffne das HijackThis
http://www.downloads.subratam.org/hijackthis.zip
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button
lösche alles , lasse nur stehen:
127.0.0.1 localhost

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

10.03.2005, 23:38

kandorar

...neu hier

Beiträge: 5

#23 hallo
habe mit den sachen angefangen, die du geschrieben hast. ist fast alles gut gegangen, aber nach dem check mit e scan, (hat verdammt viele sachen gefunden.) war bei hijack this nichts drin bei "open host file manager" .
noch ne frage.löscht es die sachen automatisch beim e scan zum beispiel? als der fertig war, war da zwar eine liste mit den resultaten, aber ich konnte die nicht löschen oder speichern oder so. und warum hast du nach dem ersten mal wo ich den pc neu starten soll mein ganzes logfile reinkopiert?
ps: sorry, bin halt ne ziemliche niete in solchen sachen
danke
kandi

10.03.2005, 23:45

Sabina

Ehrenmitglied

Beiträge: 29434

#24 kandorar

alles , was du mit HijackThis fixen solltest, waren Viren usw...

mit der Killbox und manuell musst du alles loeschen( was ich geschrieben habe und der escan anzeigt) , wende alle Tools an und dann poste das neue Log vom HijackThis.
Ich sehe dann, ob alles sauber ist
__________
MfG Sabina

rund um die PC-Sicherheit

11.03.2005, 00:13

kandorar

...neu hier

Beiträge: 5

#25 hallo
hier ist das log:
Logfile of HijackThis v1.99.1
Scan saved at 00:12:39, on 11.3.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Florian\LOKALE~1\Temp\Temporäres Verzeichnis 14 für hijackthis.zip\HijackThis.exe

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{B28C287A-521F-4DB2-AB13-AA4725F36D2D}: NameServer = 194.230.1.136 194.230.1.232
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\PACSPT~1.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

dann dass was ganz am schluss kam, mit dem editor mwav.txt öffnen und dann infected udn so.... das klappte nicht, ich konnte diese mwav.txt datei nicht öffnen

11.03.2005, 14:21

Sabina

Ehrenmitglied

Beiträge: 29434

#26 kandorar

•WinSock XP Fix 1.2
fix XP internet connectivity
http://www.spychecker.com/program/winsockxpfix.html

scanne noch mal im Normalmodus mit escan.

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit

14.03.2005, 23:57

kandorar

...neu hier

Beiträge: 5

#27 nach dem check war mwav.exe(per view log geöffnet) nur ne text datei, man konnte keine häcken setzen. habe dann bei "suchen" infected eingegeben. ich denke das stimmt so. ich kopier alles raus und poste es dann.
gruss kandi

30.03.2005, 23:19

Roharz

...neu hier

Beiträge: 2

#28 Hab das selbe Problem mit dem BDS/Agent.AY werd den net mehr los

hab schon AdAware, Spybot, e-scan, und Hijack 2mal this laufen lassen
wie im 08/15 virencleaning angeraten

hier als erstes die funde aus e-scan

Wed Mar 30 21:13:23 2005 => ***** Scanning Service Files *****
Wed Mar 30 21:13:23 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ACPI.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\drivers\aeaudio.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\drivers\aec.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\drivers\afd.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\alg.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\arp1394.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\asyncmac.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\atapi.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\atmarpc.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\audstub.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS
Wed Mar 30 21:13:23 2005 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\cdrom.sys
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\cisvc.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\clipsrv.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:23 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\d346bus.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\Drivers\d346prt.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\disk.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\dmadmin.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\dmboot.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\dmio.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\dmload.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\DMusic.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\drmkaud.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\services.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\fdc.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\flpydisk.sys
Wed Mar 30 21:13:24 2005 => Scanning File C:\WINDOWS\system32\drivers\fltmgr.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ftdisk.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\msgpc.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\hidusb.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\Drivers\HTTP.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\i8042prt.sys
Wed Mar 30 21:13:25 2005 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\ROBERT~1\LOKALE~1\Temp\iatmunin.sys. Removing SYSTEM\CurrentControlSet\Services\iatmunin...
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\imapi.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\System32\imapi.exe
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\drivers\ip6fw.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipinip.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipnat.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ipsec.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\irenum.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\isapnp.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\kbdclass.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\drivers\kmixer.sys
Wed Mar 30 21:13:25 2005 => Scanning File C:\WINDOWS\system32\Drivers\L8042mou.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\LHidKE.Sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\Drivers\LHidUsbK.Sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\Drivers\LMouKE.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\mnmsrvc.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mouclass.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mouhid.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mrxdav.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\msdtc.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\msiexec.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\drivers\MSKSSRV.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\drivers\MSPCLOCK.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\drivers\MSPQM.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\mssmbios.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndistapi.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ndiswan.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\netbios.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\netbt.sys
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\system32\netdde.exe
Wed Mar 30 21:13:26 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nic1394.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\nvsvc32.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ohci1394.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\parport.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\pci.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\services.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\lsass.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspptp.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\processr.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\lsass.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\psched.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\ptilink.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rasacd.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspppoe.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\raspti.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\rdbss.sys
Wed Mar 30 21:13:27 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\sessmgr.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\redbook.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\locator.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\rsvp.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\lsass.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\SCardSvr.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\drivers\scsiport.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\secdrv.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\serenum.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\Seri*hier nicht!*.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\drivers\smwdm.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\PROGRA~1\ANALOG~1\SoundMAX\SMAgent.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\drivers\splitter.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\DRIVERS\sr.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\srv.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\swenum.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\drivers\swmidi.sys
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\System32\dllhost.exe
Wed Mar 30 21:13:28 2005 => Scanning File C:\WINDOWS\system32\drivers\sysaudio.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\smlogsvc.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\tcpip.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\termdd.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\wdfmgr.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\update.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\ups.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbehci.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbhub.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\usbuhci.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\drivers\vga.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viaagp1.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viaide.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\viasraid.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\vssvc.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\wanarp.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\drivers\wdmaud.sys
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\wbem\wmiapsrv.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\System32\svchost.exe
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\SYSTEM32\DRIVERS\XPROTECTOR.SYS
Wed Mar 30 21:13:29 2005 => Scanning File C:\WINDOWS\system32\DRIVERS\yukonwxp.sys

Wed Mar 30 21:13:29 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Wed Mar 30 21:14:05 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Wed Mar 30 21:14:05 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Wed Mar 30 21:14:05 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Wed Mar 30 21:14:05 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.

und hier das erste hijack this ergebniss

Logfile of HijackThis v1.99.1
Scan saved at 22:56:39, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Fiese Nerver Loswerden\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NetPumper] "E:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3592C77-A848-46F1-9E45-17AA8E0D701A}: NameServer = 192.168.1.1
O18 - Protocol: bw+0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {2F3FFD8F-2F20-41E7-B05D-40DB19661FE4} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

und das zweite nach den fixes

Logfile of HijackThis v1.99.1
Scan saved at 23:09:31, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
E:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
F:\Fiese Nerver Loswerden\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NetPumper] "E:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [Steam] "e:\programme\valve\steam\steam.exe" -silent
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3592C77-A848-46F1-9E45-17AA8E0D701A}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

bin ich des zeug jetzt los oder was muss ich noch tun?

31.03.2005, 09:27

Sabina

Ehrenmitglied

Beiträge: 29434

#29 Hallo@Roharz

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
AdAware-VX2 Cleaner
# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/addons/vx2cleaner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.
__________
MfG Sabina

rund um die PC-Sicherheit

31.03.2005, 17:28

Roharz

...neu hier

Beiträge: 2

#30 Danke für die Hilfe bis jetzt läuft alles gut, scheinbar hab ich den BDS/Agent.AY erwischt

mfg Roharz

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3