Trojanisches Pferd /Buddy.f Bekomme ihn nicht weg

#0
21.06.2005, 12:35
Member

Beiträge: 11
#46 Hallo Sabina,
ich wollte mich nur für deine Hilfe bedanken. Mein PC ist wieder in Ordnung.
Also vielen Dank nochmal für die schnelle und gute Hilfe.

Mfg Dsching
Seitenanfang Seitenende
01.07.2005, 11:39
...neu hier

Beiträge: 8
#47 Bei einigen Sachen gibt es die nochmal als z.B.
HKEY_CLASSES_ROOT\trfdsk1.momo oder
HKEY_CLASSES_ROOT\trfdsk1.iiittt

Soll ich die auch löschen?
Lg, danke
Seitenanfang Seitenende
01.07.2005, 12:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#48

Zitat

Tarantine postete
Bei einigen Sachen gibt es die nochmal als z.B.
HKEY_CLASSES_ROOT\trfdsk1.momo oder
HKEY_CLASSES_ROOT\trfdsk1.iiittt

Soll ich die auch löschen?
Lg, danke
Ja, das muss geloescht werden und dann den PC neustarten

(P.S. ich habe deinen Thread total aus den Augen verloren...deshalb: poste noch mal das neue Log vom HijackTHis)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2005, 18:51
...neu hier

Beiträge: 8
#49 Logfile of HijackThis v1.99.1
Scan saved at 18:51:20, on 02.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Belzebub\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsp26.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nso9E.dll
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\System32\richedtr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [richup] C:\WINDOWS\System32\richup.exe
O4 - HKLM\..\Run: [ubpcjpi] c:\windows\system32\euajaal.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DDA24AC-21E5-463F-8748-F9C74C1D0754}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{95AFC722-0AE9-47EC-BD47-7C222C3DF0E7}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DDA24AC-21E5-463F-8748-F9C74C1D0754}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Seitenanfang Seitenende
02.07.2005, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 Hallo@Tarantine

ich schau mir das noch mal alles an, dann loeschst + fixt du:

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 50 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

-----------------------------------------------

Info:--> ist fuer mich gedacht... ;)
Verzeichnis von C:\WINDOWS\system32

20.06.2005 21:46 3.262 bose.ico
12.06.2005 20:03 3.262 creditcard32123123123asdsa1.ico
20.06.2005 21:46 3.262 dice23.ico
09.06.2005 22:01 3.262 kill all spyware4512.ico
08.06.2005 22:15 3.262 pinkkas.ico
12.06.2005 20:03 3.262 ps3-2a.ico
20.06.2005 21:46 3.262 ps31.ico
20.06.2005 21:45 2.238 red_kas21.ico
20.06.2005 21:46 2.238 red_kas221.ico
20.06.2005 21:46 3.262 vhe233a1.ico
08.06.2005 22:15 3.262 xboxa.ico


HKEY_CURRENT_USER\Software\aurora
HKEY_CLASSES_ROOT\trfdsk.amo
HKEY_CLASSES_ROOT\trfdsk.iiittt
HKEY_CLASSES_ROOT\trfdsk.momo
HKEY_CLASSES_ROOT\trfdsk.ohb

C:\WINDOWS\System32\nsp26.dll
C:\WINDOWS\System32\nso9E.dll
C:\WINDOWS\System32\richedtr.dll
C:\WINDOWS\System32\regsync.exe
C:\Programme\ErrorGuard\ErrorGuard.Exe
C:\WINDOWS\System32\\NeroCheck.exe (Associated with "Nero Burning Rom" CD )
C:\WINDOWS\System32\richup.exe
c:\windows\system32\euajaal.exe
c:\Install.cab

C:\WINDOWS\netsync.exe
C:\WINDOWS\rsyncmon.dll
C:\WINDOWS\ISSM0064.DAT
C:\WINDOWS\system32\COMMCOS2.DLL
C:\WINDOWS\system32\regsync.exe
C:\WINDOWS\system32\vbrundll.dll
C:\WINDOWS\system32\VBUninstall.exe

http://virus-protect.org/Artikel/spyware/safesurfing.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2005, 09:33
...neu hier

Beiträge: 8
#51 Gehe ich auf Start--> Ausfuehren--> cmd--> ist dort nichts zu sehen als "C:\Dokumente und Einstellungen\Belzebub>"
Sry für meine Begriffsstutzigkeit, aber welche "Eintraege der letzten 50 Tage soll ich da rauskopieren? Und ist rauskopieren gleichzusetzen mit löschen und fixen?
Mit "einzeln reinkopieren" meinst du, dass ich die Sachen einfach reinschreib, oder?
Jetzt hab ich ein troj. Pferd an ner ganz neuen Stelle:
C:\DOKUMENTE UND EINSTELLUNGEN\BELZEBUB\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\47WNONMR\POLLER[1].EXE
Vielen Dank schon mal für die Mühe
Seitenanfang Seitenende
03.07.2005, 15:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 Hallo@Tarantine


wenn du das schwarze Fenster geoeffnet hast...kopiere das rein:


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

der Texteditor oeffnet sich ...kopiere ab


und usw.....alles andere....

wenn ich das habe, beginnen wir mit der Reinigung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2005, 23:35
...neu hier

Beiträge: 8
#53 Aaaaaaaaaaah, ich bin so ein Idoit!! Habe die ganzen Teile einfach nur gelöscht....tja mann soll nicht arbeiten, wenn man müde ist...-.-

Das einzige was ich noch habe, ist vom ersten:
04.07.2005 23:09 2.206 wpa.dbl
03.07.2005 19:09 3.262 ps3-2abc.ico
03.07.2005 19:09 3.126 xbox_round11.bmp
03.07.2005 19:09 4.286 pop up blaster1232131.ico
03.07.2005 19:09 4.286 kill all spywareadsfadsf123.ico
03.07.2005 19:09 3.126 xbox_round1.bmp
03.07.2005 19:09 3.262 ringtone3.ico
03.07.2005 19:09 3.262 bose.ico
03.07.2005 19:09 3.262 vhe233a1.ico
02.07.2005 18:38 39.992 perfc009.dat
02.07.2005 18:38 311.604 perfh009.dat
02.07.2005 18:38 316.594 perfh007.dat
02.07.2005 18:38 48.156 perfc007.dat
02.07.2005 18:38 723.744 PerfStringBackup.INI
02.07.2005 18:37 122.136 FNTCACHE.DAT
01.07.2005 12:08 247 spupdwxp.log
25.06.2005 14:04 3.126 xbox_round.bmp
25.06.2005 11:54 45.988 adbltzun.exe
25.06.2005 11:54 32.768 richup.exe
25.06.2005 11:54 225.280 richedtr.dll
25.06.2005 11:54 417.792 redtrsha.dll
24.06.2005 23:34 68.016 InstallerV3.exe
Seitenanfang Seitenende
05.07.2005, 00:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 und nun noch die anderen bitte --> bitte bis Anfang Juni


cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 00:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#55 Tarantine

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

C:\WINDOWS\System32\creditcard32123123123asdsa1.ico
C:\WINDOWS\System32\dice23.ico
C:\WINDOWS\System32\kill all spyware4512.ico
C:\WINDOWS\System32\pinkkas.ico
C:\WINDOWS\System32\ps3-2a.ico
C:\WINDOWS\System32\ps31.ico
C:\WINDOWS\System32\red_kas21.ico
C:\WINDOWS\System32\red_kas221.ico
C:\WINDOWS\System32\vhe233a1.ico
C:\WINDOWS\System32\xboxa.ico

C:\WINDOWS\System32\ps3-2abc.ico
C:\WINDOWS\System32\xbox_round11.bmp
C:\WINDOWS\System32\pop up blaster1232131.ico
C:\WINDOWS\System32\kill all spywareadsfadsf123.ico
C:\WINDOWS\System32\xbox_round1.bmp
C:\WINDOWS\System32\ringtone3.ico
C:\WINDOWS\System32\bose.ico
C:\WINDOWS\System32\vhe233a1.ico
C:\WINDOWS\System32\xbox_round.bmp
C:\WINDOWS\System32\adbltzun.exe
C:\WINDOWS\System32\redtrsha.dll
C:\WINDOWS\System32\InstallerV3.exe
C:\WINDOWS\System32\nsp26.dll
C:\WINDOWS\System32\nso9E.dll
C:\Programme\ErrorGuard\ErrorGuard.Exe
C:\WINDOWS\System32\richup.exe
c:\windows\system32\euajaal.exe
c:\Install.cab
C:\WINDOWS\netsync.exe
C:\WINDOWS\rsyncmon.dll
C:\WINDOWS\ISSM0064.DAT
C:\WINDOWS\system32\COMMCOS2.DLL
C:\WINDOWS\system32\regsync.exe
C:\WINDOWS\system32\vbrundll.dll
C:\WINDOWS\system32\VBUninstall.exe
C:\WINDOWS\System32\richedtr.dll

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten


C:\Programme\ErrorGuard\ <--loeschen


dann poste mir noch einmal alle 4 DOS-Dateien (aber bitte zeitlich bis Ende Mai)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2005, 14:38
...neu hier

Beiträge: 8
#56 Zum ersten Post:

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit:


03.07.2005 09:25 7.651 dkt3C4.tmp
03.07.2005 09:25 0 dkt3C5.tmp
03.07.2005 09:25 7.651 dkt3C2.tmp
03.07.2005 09:25 138.990 thin_installer.exe
03.07.2005 09:25 7.651 dkt3C0.tmp
02.07.2005 18:25 417 dkt39F.tmp
25.06.2005 12:21 417 dkt2FB.tmp
25.06.2005 12:03 278 VGX2E9.tmp
25.06.2005 12:03 278 VGX2E8.tmp
25.06.2005 11:54 0 dkt2D2.tmp
25.06.2005 11:54 11.274 nsf2CD.tmp
25.06.2005 11:54 32.768 asfjkk32.tmp
25.06.2005 11:54 11.274 nse2CB.tmp
25.06.2005 11:54 106.316 nsx2C9.tmp
25.06.2005 11:54 106.316 nsg2C7.tmp
25.06.2005 11:54 186.340 nsu2BE.tmp
25.06.2005 11:54 186.340 nsu2BD.tmp

25.06.2005 11:54 63 dkt2C5.tmp
25.06.2005 11:54 63 dkt2C4.tmp
25.06.2005 11:54 42 dkt2C3.tmp
25.06.2005 11:54 42 dkt2C2.tmp
25.06.2005 11:54 747 dkt2C1.tmp
25.06.2005 11:54 0 dkt2BC.tmp
25.06.2005 11:54 636 dkt2A5.tmp
25.06.2005 11:54 138.990 1.exe
25.06.2005 11:54 0 dkt2A0.tmp
25.06.2005 11:54 0 dkt29F.tmp
25.06.2005 11:54 7.651 dkt29E.tmp
25.06.2005 11:54 7.651 dkt29D.tmp
25.06.2005 11:54 7.651 dkt29A.tmp
25.06.2005 11:54 7.651 dkt296.tmp
25.06.2005 11:54 7.651 dkt298.tmp
25.06.2005 11:54 417 dkt294.tmp
25.06.2005 11:54 417 dkt28B.tmp
25.06.2005 11:54 7.651 dkt290.tmp
25.06.2005 11:54 7.651 dkt26B.tmp
25.06.2005 11:54 7.651 dkt239.tmp
25.06.2005 11:54 0 dkt264.tmp
25.06.2005 11:54 0 SPLC.tmp
20.06.2005 21:56 0 SPL388.tmp
20.06.2005 21:56 0 SPL386.tmp
20.06.2005 21:54 0 SPL37F.tmp
20.06.2005 21:52 0 SPL37D.tmp
20.06.2005 21:48 0 SPL2B0.tmp

20.06.2005 21:46 7.651 dkt28E.tmp
20.06.2005 21:46 409 dkt28D.tmp
20.06.2005 21:46 0 dkt28A.tmp
20.06.2005 21:46 7.651 dkt289.tmp
20.06.2005 21:46 7.651 dkt27F.tmp
20.06.2005 21:46 7.651 dkt27B.tmp
20.06.2005 21:46 7.651 dkt27A.tmp
20.06.2005 21:46 7.651 dkt279.tmp
20.06.2005 21:46 7.651 dkt26A.tmp
20.06.2005 21:46 85 dkt265.tmp
20.06.2005 21:46 7.651 dkt267.tmp
20.06.2005 21:46 7.651 dkt263.tmp
20.06.2005 21:46 627 dkt25D.tmp
20.06.2005 21:45 409 dkt23A.tmp
20.06.2005 21:45 22 dkt25C.tmp
20.06.2005 21:45 516 dkt257.tmp
20.06.2005 21:45 409 dkt220.tmp
20.06.2005 21:45 0 dkt256.tmp
20.06.2005 21:45 0 dkt249.tmp
20.06.2005 21:45 0 dkt23E.tmp
20.06.2005 21:45 0 dkt20C.tmp
20.06.2005 21:45 0 dkt20B.tmp
20.06.2005 21:45 0 SPLE.tmp
20.06.2005 21:45 0 SPL9.tmp
20.06.2005 14:35 0 SPL2F6.tmp
20.06.2005 14:35 0 SPL2F4.tmp
20.06.2005 14:34 0 SPL2F2.tmp
20.06.2005 14:34 0 SPL2F0.tmp
20.06.2005 14:34 0 SPL2EE.tmp
20.06.2005 14:34 0 SPL2EC.tmp
20.06.2005 14:34 0 SPL2EA.tmp
20.06.2005 14:34 0 SPL2E8.tmp
20.06.2005 14:33 0 SPL2E6.tmp
20.06.2005 14:33 0 SPL2E4.tmp
20.06.2005 14:33 0 SPL2E2.tmp
20.06.2005 14:33 0 SPL2E0.tmp
20.06.2005 14:33 0 SPL2DE.tmp
20.06.2005 14:32 0 SPL2DC.tmp
20.06.2005 14:32 0 SPL2DA.tmp
20.06.2005 14:31 0 SPL2D8.tmp
20.06.2005 14:30 0 SPL2D6.tmp
20.06.2005 14:30 0 SPL2D4.tmp
20.06.2005 14:30 0 SPL2D2.tmp
20.06.2005 14:30 0 SPL2D0.tmp
20.06.2005 14:30 0 SPL2CE.tmp
20.06.2005 14:30 0 SPL2CC.tmp
20.06.2005 14:29 0 SPL2CA.tmp
20.06.2005 14:29 0 SPL2C8.tmp
20.06.2005 14:29 0 SPL2C6.tmp
20.06.2005 14:29 0 SPL2C4.tmp
20.06.2005 14:29 0 SPL2C2.tmp
20.06.2005 14:29 0 SPL2C0.tmp
20.06.2005 14:28 0 SPL2BE.tmp
20.06.2005 14:28 0 SPL2BC.tmp

20.06.2005 14:28 7.651 dkt2BB.tmp
20.06.2005 14:28 7.651 dkt2BA.tmp
20.06.2005 14:28 7.651 dkt2B9.tmp
20.06.2005 14:28 7.651 dkt2B8.tmp
19.06.2005 20:24 7.651 dkt229.tmp
19.06.2005 20:24 7.651 dkt226.tmp
19.06.2005 20:23 0 SPL20D.tmp
19.06.2005 19:25 0 dkt205.tmp
19.06.2005 18:31 409 dkt258.tmp
19.06.2005 18:31 0 SPL253.tmp
19.06.2005 18:31 7.651 dkt24C.tmp
19.06.2005 18:31 7.651 dkt250.tmp
19.06.2005 18:31 7.651 dkt24F.tmp
19.06.2005 18:31 7.651 dkt24B.tmp
19.06.2005 18:31 0 SPL24D.tmp
19.06.2005 18:31 7.651 dkt24A.tmp
19.06.2005 18:31 7.651 dkt246.tmp
19.06.2005 18:31 0 dkt248.tmp
19.06.2005 18:31 7.651 dkt247.tmp
19.06.2005 18:31 7.651 dkt245.tmp
19.06.2005 18:31 7.651 dkt244.tmp
19.06.2005 18:31 514 dkt241.tmp
19.06.2005 18:31 7.651 dkt243.tmp
19.06.2005 18:31 7.651 dkt240.tmp
19.06.2005 18:31 7.651 dkt242.tmp
19.06.2005 18:31 7.651 dkt23C.tmp
19.06.2005 18:31 403 dkt23F.tmp
19.06.2005 18:31 409 dkt238.tmp
19.06.2005 18:31 409 dkt234.tmp
19.06.2005 18:30 0 dkt23D.tmp
19.06.2005 18:30 0 dkt230.tmp
19.06.2005 18:19 304 wahtmltmp00.htm
19.06.2005 18:18 0 SPL22C.tmp
19.06.2005 18:17 0 SPL22A.tmp
19.06.2005 18:14 0 SPL228.tmp
19.06.2005 18:14 0 SPL226.tmp
19.06.2005 18:13 0 SPL224.tmp
19.06.2005 18:13 0 SPL222.tmp
19.06.2005 18:13 0 SPL21F.tmp
19.06.2005 18:13 0 SPL21D.tmp
19.06.2005 18:08 0 SPL21B.tmp
19.06.2005 18:06 0 SPL218.tmp
19.06.2005 18:05 0 SPL216.tmp
19.06.2005 18:04 0 SPL214.tmp
19.06.2005 18:04 0 SPL212.tmp
19.06.2005 18:04 0 SPL210.tmp
19.06.2005 18:04 0 SPL20E.tmp
19.06.2005 18:02 0 SPL20C.tmp
19.06.2005 18:01 0 SPL209.tmp
19.06.2005 18:00 0 SPL207.tmp
19.06.2005 18:00 409 dkt206.tmp
19.06.2005 18:00 0 SPL202.tmp
19.06.2005 18:00 0 SPL200.tmp
19.06.2005 17:59 105 dkt1FF.tmp
19.06.2005 17:59 63 dkt1FA.tmp
19.06.2005 17:59 403 dkt1F6.tmp
19.06.2005 17:59 514 dkt1F5.tmp
19.06.2005 17:59 0 dkt1F0.tmp
19.06.2005 17:59 0 dkt1EC.tmp
19.06.2005 17:59 7.651 dkt1E3.tmp
19.06.2005 17:59 7.651 dkt1B3.tmp
19.06.2005 17:59 7.651 dkt1DF.tmp
19.06.2005 17:59 409 dkt1B0.tmp
14.06.2005 18:21 0 SPL17A.tmp
14.06.2005 18:21 0 dkt170.tmp
14.06.2005 18:21 138.804 thin_installerv3.exe
09.06.2005 13:55 0 dkt31.tmp
09.06.2005 13:55 0 dkt24.tmp
09.06.2005 13:55 108.929 tool4_b2search.exe
09.06.2005 13:55 416 dkt20.tmp
09.06.2005 13:55 0 dktE.tmp
08.06.2005 22:59 0 dktA0.tmp
08.06.2005 22:59 0 dkt9C.tmp

08.06.2005 20:46 9.533 wecerr.txt
08.06.2005 20:43 419 dkt1F.tmp
08.06.2005 20:43 418 dktA.tmp
08.06.2005 20:43 0 dktB.tmp
08.06.2005 13:46 7.651 dkt72.tmp
08.06.2005 13:46 419 dkt73.tmp
08.06.2005 13:46 418 dkt71.tmp
08.06.2005 13:14 11.198 nse2E.tmp
08.06.2005 13:14 100.875 nsj27.tmp
08.06.2005 13:14 184.739 nsv22.tmp
08.06.2005 13:14 541.042 nsh20.tmp
08.06.2005 13:14 7.468 nsp1E.tmp
08.06.2005 13:14 328.926 nsy15.tmp

08.06.2005 13:14 418 dkt1C.tmp
08.06.2005 13:14 86 dkt1B.tmp
08.06.2005 13:14 86 dkt19.tmp
08.06.2005 13:14 86 dkt17.tmp
08.06.2005 13:14 84 dkt14.tmp
08.06.2005 13:14 419 dkt12.tmp
08.06.2005 13:14 0 dkt10.tmp
08.06.2005 13:13 418 dktD.tmp
08.06.2005 13:12 7.651 dkt12C.tmp
08.06.2005 13:12 3 dkt12B.tmp
08.06.2005 13:12 0 dkt12A.tmp
07.06.2005 11:34 45.096 _VWUPSRV.EXE
05.06.2005 22:45 266.308 Word 2000 Setup (0004)_MsiExec.txt
05.06.2005 22:42 1.715 Word 2000 Setup (0004).txt
05.06.2005 22:42 30.002 offcln9.log
04.06.2005 15:40 16.384 ~DF36A3.tmp
04.06.2005 15:40 16.384 ~DF27F3.tmp
03.06.2005 14:34 16.384 ~DF56CF.tmp
03.06.2005 14:34 16.384 ~DF4E64.tmp
03.06.2005 11:21 16.384 ~DF15E4.tmp
03.06.2005 11:21 16.384 ~DFD7F.tmp
02.06.2005 17:48 534 pcf2.tmp


cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit:

05.07.2005 14:26 0 0.log
05.07.2005 14:26 643.711 WindowsUpdate.log
05.07.2005 14:26 2.048 bootstat.dat
05.07.2005 00:02 32.560 SchedLgU.Txt
05.07.2005 00:02 155 winamp.ini
03.07.2005 09:25 906.796 setupapi.log
02.07.2005 18:24 374.347 iis6.log
02.07.2005 18:24 104.084 comsetup.log
02.07.2005 18:24 64.076 ntdtcsetup.log
02.07.2005 18:24 1.355 imsins.log
02.07.2005 18:24 7.903 tabletoc.log
02.07.2005 18:24 132.225 tsoc.log
02.07.2005 18:24 13.427 ocmsn.log
02.07.2005 18:24 21.901 KB896422.log
02.07.2005 18:24 136.552 ocgen.log
02.07.2005 18:24 27.383 netfxocm.log
02.07.2005 18:24 12.488 medctroc.Log
02.07.2005 18:24 14.025 msgsocm.log
02.07.2005 18:24 268.927 FaxSetup.log
02.07.2005 18:24 95.284 msmqinst.log
02.07.2005 18:24 1.355 imsins.BAK
02.07.2005 18:24 21.639 KB885835.log
02.07.2005 18:24 20.707 KB885836.log
02.07.2005 18:24 21.469 KB885250.log
02.07.2005 18:24 20.584 KB890175.log
02.07.2005 18:24 20.700 KB873339.log
02.07.2005 18:24 20.703 KB888113.log
02.07.2005 18:24 21.243 KB887742.log
02.07.2005 18:23 20.843 KB887472.log
02.07.2005 18:23 13.937 KB893803v2.log
02.07.2005 18:23 21.812 KB883939.log
02.07.2005 18:23 4.913 updspapi.log
02.07.2005 18:23 17.228 KB896358.log
02.07.2005 18:23 16.200 KB891781.log
02.07.2005 18:23 17.184 KB890046.log
02.07.2005 18:23 16.574 KB893066.log
02.07.2005 18:22 16.172 KB873333.log
02.07.2005 18:22 11.053 KB898461.log
02.07.2005 18:22 13.823 KB888302.log
02.07.2005 18:22 9.505 KB886185.log
02.07.2005 18:22 14.326 KB893086.log
02.07.2005 18:22 16.026 KB890859.log
02.07.2005 18:22 11.601 KB896428.log
01.07.2005 12:25 1.165 OEWABLog.txt
01.07.2005 12:25 735.639 setuplog.txt
01.07.2005 12:09 28.950 spupdsvc.log
01.07.2005 12:09 360 DtcInstall.log
01.07.2005 12:09 630 wmsetup.log
01.07.2005 12:09 316.640 WMSysPr9.prx
01.07.2005 11:55 456.595 svcpack.log
01.07.2005 11:52 200 cmsetacl.log
01.07.2005 11:52 519 win.ini
01.07.2005 11:52 299.552 WMSysPrx.prx
01.07.2005 11:51 1.330 sessmgr.setup.log
28.06.2005 00:26 151.552 System320nsn110
28.06.2005 00:26 151.552 System320nsi140
25.06.2005 11:36 451 system.ini
20.06.2005 21:51 30.092 xpsp1hfm.log
20.06.2005 21:51 30.099 KB828741.log
20.06.2005 21:50 24.380 KB835732.log
20.06.2005 21:50 16.110 Q329834.log
20.06.2005 21:50 24.469 KB823559.log
20.06.2005 21:49 15.532 Q329048.log
20.06.2005 21:49 15.355 KB834707-IE6-20040929.115007.log
20.06.2005 21:49 16.320 Q810577.log
20.06.2005 21:48 13.756 Q810833.log
20.06.2005 21:48 10.494 Q811630.log
20.06.2005 21:47 9.263 Q329441.log
10.06.2005 21:42 6.182 GatorHDPlugin.log
09.06.2005 16:19 50 wiaservc.log
09.06.2005 16:19 216 wiadebug.log
08.06.2005 13:32 14.637 Q817606.log
08.06.2005 13:31 11.659 Q329170.log
08.06.2005 13:30 2.866 Q329115.log
08.06.2005 13:30 2.506 Q329390.log
08.06.2005 13:30 2.440 Q323255.log
08.06.2005 13:12 109.483 tool2.exe
08.06.2005 13:12 7.168 tool1.exe

08.06.2005 13:12 0 dimak
06.06.2005 18:50 5.475 KB842773.log
06.06.2005 18:50 184.634 setupact.log
05.06.2005 22:45 403 ODBC.INI
04.06.2005 15:24 264 wininit.ini


cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit:

05.07.2005 14:38 0 sys.txt
05.07.2005 14:37 7.422 system.txt
05.07.2005 14:35 252.120 systemtemp.txt
05.07.2005 14:26 805.306.368 pagefile.sys
04.07.2005 23:33 96.693 system32.txt
01.07.2005 11:52 211 boot.ini
01.07.2005 11:44 47.564 NTDETECT.COM
01.07.2005 11:44 251.184 ntldr


Die 4 DOS Dateien nach dem Löschen und Neustart:
04.07.2005 23:09 2.206 wpa.dbl
02.07.2005 18:38 39.992 perfc009.dat
02.07.2005 18:38 311.604 perfh009.dat
02.07.2005 18:38 316.594 perfh007.dat
02.07.2005 18:38 48.156 perfc007.dat
02.07.2005 18:38 723.744 PerfStringBackup.INI
02.07.2005 18:37 122.136 FNTCACHE.DAT
01.07.2005 12:08 247 spupdwxp.log
12.06.2005 15:06 55.141 QuickTime.qtp
09.06.2005 23:14 1.300.312 MRT.exe
08.06.2005 13:14 24.576 msxml3a.dll
27.05.2005 04:04 41.472 hhsetup.dll

05.07.2005 16:54 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}3579.html
05.07.2005 16:54 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}32360.html
05.07.2005 16:54 16.384 ~DF9BE2.tmp
05.07.2005 16:54 16.384 ~DF92BF.tmp
05.07.2005 16:54 512 ~DF92C9.tmp
05.07.2005 16:53 534 pcf1.tmp
05.07.2005 16:53 2.723 kb.log
03.07.2005 19:10 416 dkt40C.tmp
03.07.2005 19:09 416 dkt409.tmp
03.07.2005 19:09 7.651 dkt405.tmp
03.07.2005 19:09 7.651 dkt403.tmp
03.07.2005 19:09 7.651 dkt404.tmp
03.07.2005 19:09 7.651 dkt401.tmp
03.07.2005 19:09 7.651 dkt402.tmp
03.07.2005 19:09 7.651 dkt3FE.tmp
03.07.2005 19:09 416 dkt3EB.tmp
03.07.2005 19:09 0 dkt3F2.tmp
03.07.2005 19:09 0 dkt3EC.tmp
03.07.2005 18:44 269 dayst.dat
03.07.2005 18:40 416 dkt3E2.tmp
03.07.2005 18:39 416 dkt3DE.tmp
03.07.2005 18:39 7.651 dkt3DB.tmp
03.07.2005 18:39 7.651 dkt3D8.tmp
03.07.2005 18:39 7.651 dkt3D9.tmp
03.07.2005 18:39 7.651 dkt3D7.tmp
03.07.2005 18:39 7.651 dkt3D5.tmp
03.07.2005 18:39 7.651 dkt39B.tmp
03.07.2005 18:39 416 dkt3A8.tmp
03.07.2005 18:39 0 dkt3C8.tmp
03.07.2005 18:39 48.199 MSSVPN32.TMP
03.07.2005 09:25 416 dkt3D0.tmp
03.07.2005 09:25 416 dkt3CF.tmp
03.07.2005 09:25 680 dkt3C7.tmp
03.07.2005 09:25 7.651 dkt3C4.tmp
03.07.2005 09:25 0 dkt3C5.tmp
03.07.2005 09:25 7.651 dkt3C2.tmp
03.07.2005 09:25 138.990 thin_installer.exe
03.07.2005 09:25 7.651 dkt3C0.tmp
03.07.2005 09:25 7.651 dkt3BE.tmp
Dieser Beitrag wurde am 05.07.2005 um 17:02 Uhr von Tarantine editiert.
Seitenanfang Seitenende
05.07.2005, 17:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 loeschen (du hast wieder nicht den pfad angegeben, war wohl in den temporaeren Dateien...also kann ich dir es nicht fuer die Killbox zurechtmachen ....ohne pfad ??????????????Also...manuell....

C:\Dokumente und Einstellungen\user\Lokale
Einstellungen\Temp


09.06.2005 13:55 108.929 tool4_b2search.exe
03.07.2005 09:25 138.990 thin_installer.exe
14.06.2005 18:21 138.804 thin_installerv3.exe
25.06.2005 11:54 11.274 nsf2CD.tmp
25.06.2005 11:54 32.768 asfjkk32.tmp
25.06.2005 11:54 11.274 nse2CB.tmp
25.06.2005 11:54 106.316 nsx2C9.tmp
25.06.2005 11:54 106.316 nsg2C7.tmp
25.06.2005 11:54 186.340 nsu2BE.tmp
25.06.2005 11:54 186.340 nsu2BD.tmp
25.06.2005 11:54 138.990 1.exe
19.06.2005 18:19 304 wahtmltmp00.htm

08.06.2005 13:14 11.198 nse2E.tmp
08.06.2005 13:14 100.875 nsj27.tmp
08.06.2005 13:14 184.739 nsv22.tmp
08.06.2005 13:14 541.042 nsh20.tmp
08.06.2005 13:14 7.468 nsp1E.tmp
08.06.2005 13:14 328.926 nsy15.tmp

C:\Dokumente und Einstellungen\user\Lokale
Einstellungen\Temp\1.exe

AdWare.Beginto.c.
C:\Dokumente und Einstellungen\user\Lokale
Einstellungen\Temp\tool4_b2search.exe

C:\Dokumente und Einstellungen\user\Lokale
Einstellungen\Temp\thin_installer.exe

AdWare.SafeSurfing.i"
C:\DOKUME~1\user\LOKALE~1\Temp\asfjkk32.tmp


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

loeschen;
10.06.2005 21:42 6.182 GatorHDPlugin.log

C:\WINDOWS\GatorHDPlugin.log

AdWare.ToolBar.HotSearchBar.g"
08.06.2005 13:12 109.483 tool2.exe
08.06.2005 13:12 7.168 tool1.exe

C:\WINDOWS\tool2.exe
C:\WINDOWS\tool1.exe

------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINDOWS\System32\vbrundll.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsp26.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\System32\nso9E.dll
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\System32\richedtr.dll
O4 - HKLM\..\Run: [regsync] C:\WINDOWS\System32\regsync.exe
O4 - HKLM\..\Run: [ErrorGuard] C:\Programme\ErrorGuard\ErrorGuard.Exe
O4 - HKLM\..\Run: [richup] C:\WINDOWS\System32\richup.exe
O4 - HKLM\..\Run: [ubpcjpi] c:\windows\system32\euajaal.exe r
O15 - Trusted Zone: *.bestcounter.biz
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.170
O15 - Trusted IP range: 195.95.218.170 (HKLM)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

PC neustarten


Auf den Desktop entpacken
Im abgesicherter Modus die Nailfix.cmd Datei ausführen(dein Desktop und Ikonen verschwinden und erscheinen wieder).
laden+ scannen Nailfix
mirror: http://www.dknoppix.com/cgi-bin/download.cgi?Nailfix

Onlinescans (scanne, bis alles sauber ist und manuell loeschen, was angezeigt wird)
http://virus-protect.org/onlinescan.html

C:\Programme\ErrorGuard <--loeschen

Ewido--> scannen+ Report posten
http://virus-protect.org/antivirenfree.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

poste bitte das neue Log vom HijackThis ,)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.07.2005, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 Tarantine

ich wollte dir nur sagen, dass ich deinen Thread nicht weiter begleiten kann (Ferien ;) )
aber ich hoffe, dass die Virenscanner den Rest erledigen

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2005, 00:11
...neu hier

Beiträge: 8
#59 Was versteht man bitte unter scannen?
Seitenanfang Seitenende
09.08.2005, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60

Zitat

Tarantine postete
Was versteht man bitte unter scannen?
scanne bedeutet, dass du den ewido laedst und dann das Programm startest.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: