popuper.exe und keine ahnung von hijackthis

#31 Die eiden .rar files hab ich mal gelöscht.

Die .reg hab ich ausgeführt. Mein Desktopbild is wieder da.

So noch das Log vom Ad-Aware SE:

Ad-Aware SE Build 1.06r1
Logfile Created on:Sonntag, 5. Juni 2005 23:32:56
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R49 31.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):26 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R49 31.05.2005
Internal build : 57
File location : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Ad-Aware
SE Personal\defs.ref
File size : 481469 Bytes
Total size : 1455496 Bytes
Signature data size : 1423833 Bytes
Reference data size : 31151 Bytes
Signatures total : 40572
CSI Fingerprints total : 902
CSI data size : 31096 Bytes
Target categories : 15
Target families : 692


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:82 %
Total physical memory:654904 kb
Available physical memory:532608 kb
Total page file size:1619832 kb
Available on page file:1502928 kb
Total virtual memory:2097024 kb
Available virtual memory:2046124 kb
OS:Microsoft Windows 2000 Professional Service Pack 3 (Build 2195)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Obtain command line of scanned processes
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Write-protect system files after repair (Hosts file, etc.)
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


05.06.2005 23:32:56 - Scan started. (Custom mode)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
ModuleName : \SystemRoot\System32\smss.exe
Command Line : n/a
ProcessID : 136
ThreadCreationTime : 05.06.2005 21:30:45
BasePriority : Normal


#:2 [csrss.exe]
ModuleName : \??\C:\WINNT\system32\csrss.exe
Command Line : C:\WINNT\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThre
ProcessID : 164
ThreadCreationTime : 05.06.2005 21:30:56
BasePriority : Normal


#:3 [winlogon.exe]
ModuleName : \??\C:\WINNT\system32\winlogon.exe
Command Line : winlogon.exe
ProcessID : 160
ThreadCreationTime : 05.06.2005 21:30:59
BasePriority : High


#:4 [services.exe]
ModuleName : C:\WINNT\system32\services.exe
Command Line : C:\WINNT\system32\services.exe
ProcessID : 212
ThreadCreationTime : 05.06.2005 21:31:01
BasePriority : Normal
FileVersion : 5.00.2195.3940
ProductVersion : 5.00.2195.3940
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : services.exe

#:5 [lsass.exe]
ModuleName : C:\WINNT\system32\lsass.exe
Command Line : C:\WINNT\system32\lsass.exe
ProcessID : 224
ThreadCreationTime : 05.06.2005 21:31:01
BasePriority : Normal
FileVersion : 5.00.2195.5960
ProductVersion : 5.00.2195.5960
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : LSA-Exe und Server-DLL
InternalName : lsasrv.dll and lsass.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : lsasrv.dll and lsass.exe

#:6 [svchost.exe]
ModuleName : C:\WINNT\system32\svchost.exe
Command Line : C:\WINNT\system32\svchost -k rpcss
ProcessID : 404
ThreadCreationTime : 05.06.2005 21:31:07
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe

#:7 [spoolsv.exe]
ModuleName : C:\WINNT\system32\spoolsv.exe
Command Line : C:\WINNT\system32\spoolsv.exe
ProcessID : 436
ThreadCreationTime : 05.06.2005 21:31:09
BasePriority : Normal
FileVersion : 5.00.2195.4299
ProductVersion : 5.00.2195.4299
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolss.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : spoolss.exe

#:8 [avguard.exe]
ModuleName : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGUARD.EXE
Command Line : "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGUARD.EXE"
ProcessID : 472
ThreadCreationTime : 05.06.2005 21:31:11
BasePriority : Normal


#:9 [avwupsrv.exe]
ModuleName : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVWUPSRV.EXE
Command Line : "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVWUPSRV.EXE"
ProcessID : 488
ThreadCreationTime : 05.06.2005 21:31:11
BasePriority : Normal


#:10 [btwdins.exe]
ModuleName : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe
Command Line : "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Bluetooth\bin\btwdins.exe"
ProcessID : 524
ThreadCreationTime : 05.06.2005 21:31:12
BasePriority : Normal
FileVersion : 1.4.2 Build 10
ProductVersion : 1.4.2 Build 10
ProductName : Bluetooth Software 1.4.2 Build 10
CompanyName : WIDCOMM, Inc.
FileDescription : Bluetooth Support Server
InternalName : BTWDIns
LegalCopyright : Copyright WIDCOMM, Inc. 2000-2003.
OriginalFilename : BTWDIns.EXE

#:11 [svchost.exe]
ModuleName : C:\WINNT\System32\svchost.exe
Command Line : C:\WINNT\System32\svchost.exe -k netsvcs
ProcessID : 544
ThreadCreationTime : 05.06.2005 21:31:13
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe

#:12 [regsvc.exe]
ModuleName : C:\WINNT\system32\regsvc.exe
Command Line : C:\WINNT\system32\regsvc.exe
ProcessID : 580
ThreadCreationTime : 05.06.2005 21:31:16
BasePriority : Normal
FileVersion : 5.00.2195.3649
ProductVersion : 5.00.2195.3649
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Remote Registry Service
InternalName : regsvc
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : REGSVC.EXE

#:13 [mstask.exe]
ModuleName : C:\WINNT\system32\MSTask.exe
Command Line : C:\WINNT\system32\MSTask.exe
ProcessID : 676
ThreadCreationTime : 05.06.2005 21:31:17
BasePriority : Normal
FileVersion : 4.71.2195.1
ProductVersion : 4.71.2195.1
ProductName : Taskplaner für Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Taskplaner-Engine
InternalName : TaskScheduler
LegalCopyright : Copyright (C) Microsoft Corp. 1997
OriginalFilename : mstask.exe

#:14 [winmgmt.exe]
ModuleName : C:\WINNT\System32\WBEM\WinMgmt.exe
Command Line : C:\WINNT\System32\WBEM\WinMgmt.exe
ProcessID : 636
ThreadCreationTime : 05.06.2005 21:31:19
BasePriority : Normal
FileVersion : 1.50.1085.0070
ProductVersion : 1.50.1085.0070
ProductName : Windows Management Instrumentation
CompanyName : Microsoft Corporation
FileDescription : Windows-Verwaltungsinstrumentation
InternalName : WINMGMT
LegalCopyright : Copyright (C) Microsoft Corp. 1995-1999

#:15 [svchost.exe]
ModuleName : C:\WINNT\system32\svchost.exe
Command Line : C:\WINNT\system32\svchost.exe -k wugroup
ProcessID : 728
ThreadCreationTime : 05.06.2005 21:31:26
BasePriority : Normal
FileVersion : 5.00.2134.1
ProductVersion : 5.00.2134.1
ProductName : Microsoft(R) Windows (R) 2000 Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : svchost.exe

#:16 [explorer.exe]
ModuleName : C:\WINNT\Explorer.EXE
Command Line : C:\WINNT\Explorer.EXE
ProcessID : 948
ThreadCreationTime : 05.06.2005 21:31:35
BasePriority : Normal
FileVersion : 5.00.3502.5321
ProductVersion : 5.00.3502.5321
ProductName : Betriebssystem Microsoft(R) Windows (R) 2000
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Copyright (C) Microsoft Corp. 1981-1999
OriginalFilename : EXPLORER.EXE

#:17 [avgnt.exe]
ModuleName : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGNT.EXE
Command Line : "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\AVGNT.EXE" /min
ProcessID : 1036
ThreadCreationTime : 05.06.2005 21:32:03
BasePriority : Normal


#:18 [ad-aware.exe]
ModuleName : C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Ad-Aware SE Personal\Ad-Aware.exe
Command Line : "C:\Dokumente und Einstellungen\iw1\Eigene Dateien\Progz\Ad-Aware SE Personal\Ad-Aware.exe"
ProcessID : 1212
ThreadCreationTime : 05.06.2005 21:32:43
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\iw1\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\adobe\acrobat reader\6.0\avgeneral\crecentfiles
Description : list of recently used files in adobe reader


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\ahead\nero - burning rom\recent file list
Description : list of recently used files in nero burning rom


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\kazaa\search
Description : list of recent searches performed with sharman networks kazaa


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct3d


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description : most recent application to use microsoft direct X


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description : most recent application to use microsoft directdraw


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\internet explorer
Description : last download directory used in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\internet explorer\typedurls
Description : list of recently entered addresses in microsoft internet explorer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\mediaplayer\medialibraryui
Description : last selected node in the microsoft windows media player media library


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\mediaplayer\preferences
Description : last playlist index loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\mediaplayer\preferences
Description : last playlist loaded in microsoft windows media player


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\microsoft management console\recent file list
Description : list of recent snap-ins used in the microsoft management console


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\office\9.0\excel\recent files
Description : list of recent files used by microsoft excel


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\office\9.0\powerpoint\recent file list
Description : list of recent files used by microsoft powerpoint


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\applets\paint\recent file list
Description : list of files recently opened using microsoft paint


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\applets\regedit
Description : last key accessed using the microsoft registry editor


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\applets\wordpad\recent file list
Description : list of recent files opened using wordpad


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Description : list of recent programs opened


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Description : list of recently saved files, stored according to file extension


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows\currentversion\explorer\runmru
Description : mru list for items opened in start | run


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\realnetworks\realplayer\6.0\preferences
Description : list of recent skins in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\realnetworks\realplayer\6.0\preferences
Description : list of recent clips in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\realnetworks\realplayer\6.0\preferences
Description : last login time in realplayer


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1708537768-854245398-1000\software\microsoft\windows media\wmsdk\general
Description : windows media sdk



Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26



Deep scanning and examining files (C
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26


Scanning Hosts file......
Hosts file location:"C:\WINNT\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 26




Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 26

23:39:35 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:06:38.674
Objects scanned:77616
Objects identified:0
Objects ignored:0
New critical objects:0

#32 Hallo@M-o-D

Zitat

Die .reg hab ich ausgeführt. Mein Desktopbild ist wieder da.

Dann wuensch ich dir + PC alles Gute
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Hallo,

bin ganz neu hier...

habe alles was auf den vorherigen seiten steht gemacht, habe aber immernoch den nervigen desktop hintergrund, er flackert zwischen weiß und grau hinundher...

kann mir wer helfen?

Hier die Logs....

HiJackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:28:11, on 08.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\DiskeeperLite\DKService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Promise Technology, Inc\Promise Array Management\MsgAgt.exe
C:\Programme\Promise Technology, Inc\Promise Array Management\MsgSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
D:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe
D:\Programme\PC Alert 4\PCAlert4.exe
D:\Programme\LimeWire 4.8 Pro\LimeWire\LimeWire.exe
D:\Programme\Mozilla Firefox\firefox.exe
H:\Download´s\HijackThis.exe

O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [POINTER] c:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpybotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [CleanUp!] D:\Programme\CleanUp!\Cleanup.exe /WindowsRestart
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: PC Alert 4.lnk = D:\Programme\PC Alert 4\PCAlert4.exe
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\DiskeeperLite\DKService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Programme\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Programme\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe

Silent Runners Log:
"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Ptipbmf" = "rundll32.exe ptipbmf.dll,SetWriteCacheMode" [MS]
"POINTER" = "c:\Programme\Microsoft Hardware\Mouse\point32.exe" [MS]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"AVGCtrl" = "D:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"SpybotSnD" = ""D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}
EXECUTION UNLIKELY: " IEradicator 2001" = (no data)
EXECUTION UNLIKELY: " © 1999-2001 Brooks Innovations" = (no data)
EXECUTION UNLIKELY: " http://www.98lite.net" = (no data)
EXECUTION UNLIKELY: " ___________________________" = (no data)
EXECUTION UNLIKELY: " " = (no data)
EXECUTION UNLIKELY: "Registrando Panda ActiveX" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\as.dll" [MS]
EXECUTION UNLIKELY: "Registrando Panda Almacen" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\pavpz.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht"
-> {CLSID}\InProcServer32\(Default) = "ppiv30.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{0AC6C6C5-F7A8-11D2-BEF4-00C04F990001}" = "Macromedia FTP & RDS"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\CfShellFtpRds.dll" ["Macromedia, Inc."]
"{6B19FEC2-A45B-11CF-9045-00A0C9039735}" = "Registered ActiveX Controls"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]
"{D545EBD1-BD92-11CF-8772-00A0C9039735}" = "Developer Studio Components"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Visual Studio\Common\MSDev98\Bin\IDE\DEVXPGL.DLL" [MS]
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}" = "BitDefender Antivirus v8"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Softwin\BitDefender8\bdshelxt.dll" ["SOFTWIN S.R.L."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "sockspy.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = ""

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
INFECTION WARNING! taskmgr.exe\Debugger = "D:\Programme\Prozess Explorer\procexp.exe" ["Sysinternals"]


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Windows.3\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
"FriendlyName" = ""
"Source" = ""
"SubscribedURL" = ""



Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Sebastian" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"CAPIControl" -> shortcut to: "D:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe" ["DeTeWe AG & Co."]
"HomeNet Control" -> shortcut to: "D:\Programme\Telekom\Eumex 604PC HomeNet\HNetCtrl.exe" ["DeTeWe AG & Co."]
"PC Alert 4" -> shortcut to: "D:\Programme\PC Alert 4\PCAlert4.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{44226DFF-747E-4EDC-B30C-78752E50CD0C}\
(Default) = "&ATI TV"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL" ["ATI Technologies Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{44226DFF-747E-4EDC-B30C-78752E50CD0C}\
"ButtonText" = "ATI TV"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "D:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Diskeeper, Diskeeper, "D:\Programme\DiskeeperLite\DKService.exe" ["Executive Software International, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Promise Array Message Agent, RAIDmAgt, "C:\Programme\Promise Technology, Inc.\Promise Array Management\MsgAgt.exe" [empty string]
Promise Array Message Server, RAIDmSvr, "C:\Programme\Promise Technology, Inc.\Promise Array Management\MsgSvr.exe" [empty string]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

#34 Hallo@TooStoned

gehe in die registry

Start-->Ausfuehren--> regedit

HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\BootExecute

berichte, was du dort findest ....
eventuell
autocheck autochk *(?)
oder was anderes?
----------------------------------------------------------------------------

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\

loesche:

"FriendlyName" = ""
"Source" = ""
"SubscribedURL" = ""


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

------------------------------

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Hi,

habe das flackern immernoch.

Hier der Log:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
C:\WINDOWS\system32\ATIVTPXX.AX: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\MFC42.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42U.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCD42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCD42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCN42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCN42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCO42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCO42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\ATIVTPXX.AX: dwProvSpec2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\MFC42.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42U.PDB: dwProvSpec2
C:\WINDOWS\system32\MFC42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCD42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCD42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCN42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCN42UD.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCO42D.PDB: dwProvSpec2
C:\WINDOWS\system32\MFCO42UD.PDB: dwProvSpec2

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\avisynth.dll: UPX!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\daemon.dll: UPX!
C:\WINDOWS\paintball.scr: UPX!
C:\WINDOWS\uscscsi.dll: UPX!
Finished
bye

#36 Hallo@TooStoned

DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 20 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Hi,


DllCompare Log:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\12781d~1.sys Thu 30 Dec 2004 17:03:44 ..SHR 8 0,01 K
C:\WINDOWS\SYSTEM32\cdplay~1.man Thu 2 Jun 2005 17:23:48 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\kgygaavl.sys Thu 30 Dec 2004 17:03:44 A.SH. 1.890 1,84 K
C:\WINDOWS\SYSTEM32\logonu~1.man Sat 6 Nov 2004 21:42:28 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\msgagt.pwd Sat 6 Nov 2004 22:59:50 A..H. 18.144 17,72 K
C:\WINDOWS\SYSTEM32\ncpacp~1.man Thu 2 Jun 2005 17:23:48 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\nwccpl~1.man Thu 2 Jun 2005 17:23:48 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\sapicp~1.man Thu 2 Jun 2005 17:23:48 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\window~1.man Sat 6 Nov 2004 21:42:28 A..HR 488 0,48 K
C:\WINDOWS\SYSTEM32\wuaucp~1.man Thu 2 Jun 2005 17:23:48 A..HR 749 0,73 K
C:\WINDOWS\SYSTEM32\CONFIG\tempkey.log Sat 6 Nov 2004 22:05:14 A..H. 1.024 1,00 K
C:\WINDOWS\SYSTEM32\RESTORE\filelist.xml Sat 17 Jul 2004 12:40:22 ..SHR 19.528 19,07 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\asferr.cat Wed 11 Dec 2002 19:37:48 ..S.. 7.179 7,01 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\codecs10.cat Fri 28 Jan 2005 13:44:28 ..S.. 8.520 8,32 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\drm.cat Wed 11 Dec 2002 18:52:34 ..S.. 10.009 9,77 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\drm10.cat Fri 28 Jan 2005 13:44:28 ..S.. 8.818 8,61 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\ieexcep.cat Wed 12 May 2004 9:32:38 ..S.. 31.020 30,29 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\kb891781.cat Mon 10 Jan 2005 17:52:16 ..S.. 11.068 10,81 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\kb892313.cat Wed 4 May 2005 10:57:10 ..S.. 8.344 8,15 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\kb8938~1.cat Tue 3 May 2005 12:58:46 ..S.. 29.451 28,76 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\mppre10.cat Fri 28 Jan 2005 13:44:28 ..S.. 7.030 6,86 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem0.cat Tue 5 Aug 2003 14:21:10 ..S.. 24.979 24,39 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem24.cat Fri 8 Aug 2003 17:15:06 ..S.. 14.427 14,09 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem26.cat Fri 28 Mar 2003 21:31:54 ..S.. 7.180 7,01 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem27.cat Mon 9 May 2005 16:00:40 ..S.. 63.698 62,20 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem28.cat Thu 5 May 2005 19:02:14 ..S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\oem30.cat Fri 18 Mar 2005 18:21:18 ..S.. 16.497 16,11 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\scriptde.cat Thu 16 Sep 2004 14:44:08 ..S.. 11.745 11,47 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\wmdm10.cat Fri 28 Jan 2005 13:44:28 ..S.. 9.116 8,90 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\wmfsdk.cat Wed 11 Dec 2002 19:14:10 ..S.. 12.817 12,52 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\wmfsdk10.cat Fri 28 Jan 2005 13:44:28 ..S.. 11.202 10,94 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\wmstyp~1.cat Wed 6 Nov 2002 14:53:00 ..S.. 7.527 7,35 K
C:\WINDOWS\SYSTEM32\CATROOT\{F750E~1\wpd10.cat Fri 28 Jan 2005 13:44:28 ..S.. 10.598 10,35 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\ntuser~1.log Tue 7 Jun 2005 11:44:10 A..H. 1.024 1,00 K
C:\WINDOWS\SYSTEM32\GROUPP~1\ADM\admfiles.ini Thu 13 Jan 2005 17:56:32 ...H. 81 0,08 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\ANWEND~1\desktop.ini Sat 6 Nov 2004 21:07:08 A.SH. 62 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\desktop.ini Sat 6 Nov 2004 21:07:08 A.SH. 62 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\SENDTO\desktop.ini Sat 6 Nov 2004 21:42:30 A.SH. 187 0,18 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\desktop.ini Sat 6 Nov 2004 21:07:08 A.SH. 62 0,06 K
C:\WINDOWS\SYSTEM32\REINST~1\0000\DRIVER~1\cx_10299.cat Tue 5 Aug 2003 14:21:10 A.S.. 24.979 24,39 K
C:\WINDOWS\SYSTEM32\REINST~1\0000\DRIVER~1\cx_22511.cat Mon 9 May 2005 16:00:40 A.S.. 63.698 62,20 K
C:\WINDOWS\SYSTEM32\REINST~1\0001\DRIVER~1\cx_10299.cat Tue 5 Aug 2003 14:21:10 A.S.. 24.979 24,39 K
C:\WINDOWS\SYSTEM32\REINST~1\0001\DRIVER~1\cx_22511.cat Mon 9 May 2005 16:00:40 A.S.. 63.698 62,20 K
C:\WINDOWS\SYSTEM32\REINST~1\0015\DRIVER~1\wmvirhid.cat Thu 3 Apr 2003 12:11:44 A.S.. 13.834 13,51 K
C:\WINDOWS\SYSTEM32\REINST~1\0018\DRIVER~1\nv4_disp.cat Fri 5 Nov 2004 12:03:08 A.S.. 23.360 22,81 K
C:\WINDOWS\SYSTEM32\REINST~1\0031\DRIVER~1\fasttx2k.cat Thu 19 Jun 2003 12:25:14 A.S.. 8.217 8,02 K
C:\WINDOWS\SYSTEM32\REINST~1\0046\DRIVER~1\nv_agp.cat Tue 4 May 2004 1:01:40 A.S.. 8.503 8,30 K
C:\WINDOWS\SYSTEM32\REINST~1\0047\DRIVER~1\nvmemctl.cat Fri 18 Apr 2003 4:40:40 A.S.. 8.149 7,96 K
C:\WINDOWS\SYSTEM32\REINST~1\0048\DRIVER~1\nvmemctl.cat Fri 18 Apr 2003 4:40:40 A.S.. 8.149 7,96 K
C:\WINDOWS\SYSTEM32\REINST~1\0049\DRIVER~1\nvmemctl.cat Fri 18 Apr 2003 4:40:40 A.S.. 8.149 7,96 K
C:\WINDOWS\SYSTEM32\REINST~1\0050\DRIVER~1\nvmemctl.cat Fri 18 Apr 2003 4:40:40 A.S.. 8.149 7,96 K
C:\WINDOWS\SYSTEM32\REINST~1\0051\DRIVER~1\nvmemctl.cat Fri 18 Apr 2003 4:40:40 A.S.. 8.149 7,96 K
C:\WINDOWS\SYSTEM32\REINST~1\0052\DRIVER~1\nvsmb.cat Wed 26 Nov 2003 16:54:58 A.S.. 7.573 7,39 K
C:\WINDOWS\SYSTEM32\REINST~1\0053\DRIVER~1\nvenet.cat Fri 13 Feb 2004 18:11:58 A.S.. 8.790 8,58 K
C:\WINDOWS\SYSTEM32\REINST~1\0054\DRIVER~1\nvata.cat Tue 15 Jun 2004 11:22:36 A.S.. 9.697 9,47 K
C:\WINDOWS\SYSTEM32\REINST~1\0055\DRIVER~1\nvmcp.cat Tue 1 Jun 2004 16:43:12 A.S.. 42.787 41,78 K
C:\WINDOWS\SYSTEM32\REINST~1\0056\DRIVER~1\nvmcp.cat Tue 1 Jun 2004 16:43:12 A.S.. 42.787 41,78 K
C:\WINDOWS\SYSTEM32\REINST~1\0058\DRIVER~1\nv4_disp.cat Fri 5 Nov 2004 12:03:08 A.S.. 23.360 22,81 K
C:\WINDOWS\SYSTEM32\REINST~1\0059\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\REINST~1\0060\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\REINST~1\0061\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\REINST~1\0062\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\REINST~1\0063\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\REINST~1\0064\DRIVER~1\atixpwdm.cat Thu 5 May 2005 19:02:14 A.S.. 14.841 14,49 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 113 0,11 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\desktop.ini Sat 6 Nov 2004 21:43:34 A.SH. 208 0,20 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\13389a~1 Sat 7 May 2005 15:34:38 A.SH. 388 0,38 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\24ae77~1 Sat 5 Feb 2005 1:58:06 A.SH. 388 0,38 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\74b826~1 Tue 1 Jan 2002 8:48:14 A.SH. 388 0,38 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\a1a67b~1 Sat 6 Nov 2004 22:23:36 A.SH. 388 0,38 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\c4d6b8~1 Mon 16 May 2005 20:47:36 A.SH. 388 0,38 K
C:\WINDOWS\SYSTEM32\MICROS~1\PROTECT\S-1-5-18\USER\prefer~1 Mon 16 May 2005 20:47:36 A.SH. 24 0,02 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 113 0,11 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\desktop.ini Sat 6 Nov 2004 21:43:34 A.SH. 84 0,08 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\ZUBEH™R\
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\desktop.ini Sat 6 Nov 2004 21:43:34 A.SH. 495 0,48 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\editor.lnk Sat 6 Nov 2004 21:43:34 A.... 1.519 1,48 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\eingab~1.lnk Sat 6 Nov 2004 21:43:34 A.... 1.555 1,52 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\progra~1.lnk Sat 6 Nov 2004 21:43:34 A.... 386 0,38 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\synchr~1.lnk Sat 6 Nov 2004 21:43:34 A.... 1.519 1,48 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\window~1.lnk Sat 6 Nov 2004 21:42:18 A.... 1.487 1,45 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\AUTOST~1\window~2.lnk Sat 6 Nov 2004 21:43:34 A.... 1.527 1,49 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\01MNSPUB\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\0XIFOTIN\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\8XEJWXMR\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\TEMPOR~1\CONTENT.IE5\WXUV0PUB\desktop.ini Sat 6 Nov 2004 21:42:48 A.SH. 67 0,06 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\ZUBEH™R\EINGAB~1\
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\bildsc~1.lnk Sat 6 Nov 2004 21:43:34 A.... 1.525 1,49 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\bildsc~2.lnk Sat 6 Nov 2004 21:43:34 A.... 1.501 1,46 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\desktop.ini Sat 6 Nov 2004 21:43:34 A.SH. 303 0,29 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\hilfsp~1.lnk Sat 6 Nov 2004 21:43:34 A.... 1.539 1,50 K
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\STARTM~1\PROGRA~1\ZUBEH™R\UNTERH~1\
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM~1\LOKALE~1\VERLAUF\HISTORY.IE5\MSHIST~1\desktop.ini Sat 6 Nov 2004 21:43:34 A.SH. 84 0,08 K
________________________________________________

5.475 items found: 5.186 files (89 H/S), 289 directories (32 H/S).
Total of file sizes: 918.919.909 bytes 876,35 M

Administrator Account = Wahr

AppInit_DLLs value = sockspy.dll (not hidden)
--------------------End log---------------------


System32 Log:

07.06.2005 11:38 19.728 pgdfgsvc.exe
07.06.2005 11:33 13.316 qtplugin.log
05.06.2005 13:38 52.764 perfc009.dat
05.06.2005 13:38 391.000 perfh007.dat
05.06.2005 13:38 380.350 perfh009.dat
05.06.2005 13:38 63.580 perfc007.dat
05.06.2005 13:38 895.600 PerfStringBackup.INI
05.06.2005 10:45 877.536 FNTCACHE.DAT
02.06.2005 17:23 749 cdplayer.exe.manifest
02.06.2005 17:23 749 wuaucpl.cpl.manifest
02.06.2005 17:23 749 sapi.cpl.manifest
02.06.2005 17:23 749 nwc.cpl.manifest
02.06.2005 17:23 749 ncpa.cpl.manifest
01.06.2005 18:27 2.206 wpa.dbl
28.05.2005 23:57 766 spyware.ico
28.05.2005 23:57 4.286 spam.ico
28.05.2005 23:57 2.238 pharm.ico
28.05.2005 23:57 2.238 network.ico
28.05.2005 23:57 2.238 Date.ico
28.05.2005 15:03 5.269 wp.bmp
27.05.2005 23:09 138 perfcii.ini
18.05.2005 14:51 2.320.384 kernel1.exe????????????

SystemTemp Log:


Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

08.06.2005 22:07 1.507.328 ~DF7052.tmp
08.06.2005 15:23 542 htm1.tmp
08.06.2005 15:05 1.507.328 ~DF75FC.tmp
08.06.2005 14:24 1.507.328 ~DFED18.tmp
08.06.2005 13:40 1.507.328 ~DF32F7.tmp
08.06.2005 12:39 1.507.328 ~DFA76F.tmp
6 Datei(en) 7.537.182 Bytes
0 Verzeichnis(se), 1.256.837.120 Bytes frei


System Log:

Verzeichnis von C:\WINDOWS

08.06.2005 22:15 448.992 pfirewall.log
08.06.2005 22:14 3.317 KB890923.log
08.06.2005 22:13 370.839 WindowsUpdate.log
08.06.2005 22:05 0 0.log
08.06.2005 22:04 101 MsgAgt.INI
08.06.2005 22:04 2.048 bootstat.dat
08.06.2005 15:28 177 winamp.ini
08.06.2005 01:15 11.550 KB891781.log
08.06.2005 01:11 1.046.618 pfirewall.log.old
08.06.2005 01:08 116 NeroDigital.ini
08.06.2005 00:39 54.156 QTFont.qfn
07.06.2005 23:58 216 wiadebug.log
07.06.2005 23:57 59 WINPHONE.INI
07.06.2005 23:24 50 wiaservc.log
07.06.2005 23:05 10.672 Active Setup Log.BAK
06.06.2005 13:28 790 win.ini
06.06.2005 13:28 274 system.ini
05.06.2005 18:16 1.409 QTFont.for
05.06.2005 13:38 43.499 iis6.log
05.06.2005 13:38 4.170 ntdtcsetup.log
05.06.2005 13:38 828 msgsocm.log
05.06.2005 13:38 841 ocmsn.log
05.06.2005 13:38 8.140 tsoc.log
05.06.2005 13:38 311 tabletoc.log
05.06.2005 13:38 1.207 MedCtrOC.log
05.06.2005 13:38 11.018 FaxSetup.log
05.06.2005 13:38 2.161 netfxocm.log
05.06.2005 13:38 9.190 msmqinst.log
05.06.2005 13:38 0 setupact.log
05.06.2005 13:38 0 setuperr.log
04.06.2005 21:41 26 HNetCtrl.INI
04.06.2005 11:29 0 ATIMMC.INI
04.06.2005 11:10 316.640 WMSysPr9.prx
02.06.2005 22:01 99.970 UninstallFirefox.exe
02.06.2005 22:01 13.013 mozver.dat
02.06.2005 17:23 749 WindowsShell.Manifest
01.06.2005 18:30 1 q213781_disk.dll
26.05.2005 23:39 185 mdm.ini
26.05.2005 10:21 59 vbaddin.ini
25.05.2005 15:09 737.280 iun6002.exe

Sys Log:

Verzeichnis von C:\

08.06.2005 22:18 0 sys.txt
08.06.2005 22:17 7.561 system.txt
08.06.2005 22:16 531 systemtemp.txt
08.06.2005 22:13 122.239 system32.txt
08.06.2005 22:04 805.306.368 pagefile.sys
08.06.2005 14:58 1.852 log.txt
08.06.2005 14:58 91 windows.txt
08.06.2005 14:55 1.266 win.txt
08.06.2005 14:44 40 start.txt
07.06.2005 22:49 2 AVPCallback.log
07.06.2005 19:07 343 vlist.log
06.06.2005 13:28 258 BOOT.INI
20.05.2005 13:05 20.587 Datenbank.CSV
18.05.2005 11:51 342 BOOT.BKK

#38 Adware:Adware/Virmaid No desinfectado C:\WINDOWS\system32\perfcii.ini

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\wp.exe
C:\wp.bmp
C:\Windows\system32\msole32.exe
C:\windows\popuper.exe
C:\Windows\System32\intmonp.exe
C:\WINDOWS\System32\helper.exe
C:\PROGRAM FILES\VIRTUAL MAID\Virtual Maid.dll
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll.htm
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll
C:\WINDOWS\System32\msmsgs.exe
c:\windows\sites.ini
C:\WINDOWS\System32\ole32vbs.exe
C:\Windows\system32\helper.exe
C:\windows\system32\perfcii.ini
C:\Windows\System32\spyware.ico
C:\Windows\System32\spam.ico
C:\Windows\System32\pharm.ico
C:\Windows\System32\network.ico
C:\Windows\System32\Date.ico
C:\WINDOWS\IUN6002.EXE

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Hi,
Könntet ihr bitte auch mal meine Log durchgucken ?

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 15:21:54, on 21.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\Outpost Firewall 1.0\outpost.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\PROGRA~1\Free Download Manager\fdm.exe
C:\Dokumente und Einstellungen\QireX\Desktop\KillBox.exe
C:\WINDOWS\popuper.exe
C:\Dokumente und Einstellungen\QireX\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3D37F197-F90E-7E1A-8AB2-142802C4B400} - C:\DOKUME~1\QireX\ANWEND~1\jugs comp\TheMapi.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRA~1\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: ATITool.lnk = D:\Programme\ATITool\ATITool.exe
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with NetPumper - D:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Programme\Outpost Firewall 1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.slotchbar.com/ist/softwares/v4.0/protect_regular.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Wie kann ich den popuper.exe löschen, habe mich hier einwenig durchgearbeitet, aber so wie ich das gesehen habe ist das für jedes system verschieden, oder?!

LG
QireX

#40 Hallo@QireX

ich bin erst heute aus den Ferien zurueck.
schreibe mir bitte, ob sich dein Problem erledigt hat oder ob noch zu reinigen ist
__________
MfG Sabina

rund um die PC-Sicherheit

#41 Cool

Eine Antwort ;P


Also mein Problem hat sich bis auf weiteres Behoben ...

Aber ich hab letztens rausgefunden das das Komische bild . wo steht das irgendein Virus was verursacht hätte (das so halt so aus wie es manchmal von Windows ist wenn man irgendwie falsch ausgeschaltet hat und n fehler aufgetreten ist. dann gibts , zwar sehr selten, ja irgendwie sowas was aufm desktop steht) .. Jedenfalls ist das nicht wie bei Windows aufn Bildschirm geschrieben ein Bild was im Windows Ordner drin war Oo

#42 Hallo@QireX

du hast also noch nicht formatiert.

um an alle Daten ranzukommen, brauche ich folgendeswenn du was nicht verstehst oder kannst--> frag

DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten


silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Lade: rkfiles.zip--> auch wenn es lange dauert, bis sich das DOS-Fenster schliesst....warte
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt


Start--> Ausfuehren--> cmd--> DOS oeffnet sich kopiere nur die Eintraege der letzten 40 Tage raus--> kopiere auch den Pfad mit

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

wenn ich diese Daten habe, gebe ich Anweisungen fuer die Registry und Loeschen ....dann ist alles wieder o.k.
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#43 Hi

So jetzt poste ich erstmal alles bis auf das mit der Batch ..


Also posten kann ich das nicht .. Dann werd ich mal die txt datei hochladen ..

*hochlad* .. 7 kb/s *grml*

http://s2.11mbit.de/FMKd52z5tLnkh86uifc4NpHj7za24163HFKHEgdE241OLvNpHEgHjB8D/4f852LEK

[Edit]
*arg*
Der abgesicherte Modus geht nicht
Ich kann dann zwischen Administrator und mir wählen

Aber mein account ist gleich der Administrator, ich habe sonst eigendlich keinen auser meinem ...

So aber bei beiden komm ich nicht rein... ich klick z.b. auf administrator
dann dauerts kurz und dann hört man irgendwas .. vllt Lüfter oder Fesplatte absaufen

Wuuuuuuuum
hoch > tiefer sound

Und dann startet der pc von neuem Oo



Ich hab trotzdem mal die batch ausgeführt , nicht im abgesicherten modus
http://s2.11mbit.de/vx3jJGsoGDAGMIt44174flhnO4w17DsC9EpmMxCIN39eFq1779Alr127/AFHJ7vP4

#44 Hallo@QireX

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {3D37F197-F90E-7E1A-8AB2-142802C4B400} - C:\DOKUME~1\QireX\ANWEND~1\jugs comp\TheMapi.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {4418DD4D-7265-4C32-BC0A-3FDB3C2DA938} (Protecter Class) - http://www.slotchbar.com/ist/softwares/v4.0/protect_regular.cab
O16 - DPF: {AFAB176A-0D25-436A-8555-286F6D7AA388} (CRegFreezeScanModule Object) - http://www.actualresearch.com/de/files/rfscanax.cab

PC neustarten

loeschen:
C:\DOKUME~1\QireX\ANWEND~1\jugs comp\TheMapi.exe
C:\WINDOWS\popuper.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\popuper.exe.q_2CF536D_q-->(kann auch andere Zahlen beinhalten)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\popuper.exe.q_2CF536D_q.old
C:\WINDOWS\System32\msmsgs.exe

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

Die Datei "fixme.reg" auf dem Desktop doppelklicken


Lade :smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/smitRem_filelist.htm
Oeffne smitRem folder, Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread


•Search&Destroy
http://virus-protect.org/antispywaretools.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

Ewido-->scanne-->poste den Report vom Scan
http://virus-protect.org/antivirenfree.html
__________
MfG Sabina

rund um die PC-Sicherheit

#45 O.O

Woher wisst ihr das alles
Ich versteh das nicht, ich hab dir ne fast "bedeutungslose" log file gegeben (natürlich war die sehr bedeutend, aber ich hab fast kein wort verstanden)
und du weist genau was zu tun ist ^^

Zitat

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed!


Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleadm.dll
wp.bmp
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

uninstIU.exe
sites.ini


~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN!

http://s4.11mbit.de/8nkDIkqAkhw7c9fGq128M23dNK05bCHN349lqw6ciouz5Alr238jBH06/8uIjCdEB