IE Absturz + nervende Popups

#0
07.06.2005, 19:41
Member

Beiträge: 17
#1 Huhu!

Ich hab folgendes Problem:
Ich vor kurzem ausversehen auf ne Werbung geklickt, darauf hin wurde ich mit irgendwelchen Sachen vollgebommt, welche ich aber mit Antivir geblockt habe. Doch leider funktionierte danach mein IE net mehr. Es kam immer diese Fehlermeldung:

Zitat

iexplore.exe hat ein Problem festgestellt und muss beendet werden.
Dazu diese Signatur:

Zitat

AppName: iexplore.exe AppVer: 6.0.2800.1106 ModName: unknown ModVer: 0.0.0.0 Offset: 006f0bc2
Das ansich wäre nicht das schlimmste, da ich ja auch andere Explorer benutzen kann...
Aber in regelmäßigen Abständen tauchen immer abwechselnd ein Werbepopup (irgendwas mit gamblingkey.com) oder eine Sicherheitswarnung die mich über Spyware aufklärt auf englisch auf (mein System ist auf deutsch eingestellt).

Hab schon mit Lavasoft Adaware und Spybot gescannt, beide auf dem neusten Stand. Aber nichts wurde gefunden. Antivir hat auch nichts gefunden.

Mein System ist:
Windows XP Prof. SP1
IE 6 SP 1

Und hier meine hijackthis - Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:22:06, on 07.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Prozess Browser\procexp.exe
C:\Programme\Java\jre1.5.0_02\bin\javaw.exe
C:\Programme\Opera7\Opera.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX00.644\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116780623893
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A8E4195-2E4D-47AC-A3A8-4A9BC7B384E8}: NameServer = 213.20.54.76 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D5C21BC-A39A-44C9-956D-4777FE8A6A84}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{A65EE3FC-E830-4BCB-BB65-2E4B09A28714}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Kann einer was damit anfangen? Gibt es noch andere Möglichkeiten, mein System wieder zum Laufen zu bekommen?

Mfg Demidrin
Seitenanfang Seitenende
08.06.2005, 15:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Demidrin

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten


Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der 20 letzten Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2005, 17:04
Member

Themenstarter

Beiträge: 17
#3 Ok, danke für die schnelle Antwort, hier die Logs:

DllCompar Log:

Zitat

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found ;)"
________________________________________________

3.262 items found: 3.262 files, 0 directories.
Total of file sizes: 626.714.066 bytes 597,68 M

Administrator Account = True

--------------------End log---------------------
rkfiles.zip:

Zitat

C:\Dokumente und Einstellungen\Sebastian\Desktop

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\saxzip.ocx: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\saxzip.ocx: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye
sys.txt:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\

08.06.2005 16:22 0 sys.txt
08.06.2005 16:22 8.582 system.txt
08.06.2005 16:21 9.038 systemtemp.txt
08.06.2005 16:18 107.377 system32.txt
08.06.2005 12:28 805.306.368 pagefile.sys
24.05.2005 10:00 47.580 NTDETECT.COM
24.05.2005 10:00 235.296 ntldr
22.05.2005 21:44 194 boot.ini
22.05.2005 15:59 0 CONFIG.SYS
22.05.2005 15:59 0 AUTOEXEC.BAT
22.05.2005 15:59 0 IO.SYS
22.05.2005 15:59 0 MSDOS.SYS
13 Datei(en) 805.719.387 Bytes
0 Verzeichnis(se), 13.436.030.976 Bytes frei
system32.txt:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\WINDOWS\system32

08.06.2005 12:28 12.357 Tablet.dat
08.06.2005 12:28 21.961 nvapps.xml
08.06.2005 12:27 18.560 BMXState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
08.06.2005 12:27 18.560 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
08.06.2005 12:27 23.196 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
08.06.2005 12:27 23.196 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
08.06.2005 12:27 1.072 settings.sfm
08.06.2005 12:27 1.072 settingsbkup.sfm
08.06.2005 12:27 24 DVCState-{00000000-00000000-0000000C-00001102-00000004-00531102}.dat
08.06.2005 12:27 24 DVCStateBkp-{00000000-00000000-0000000C-00001102-00000004-00531102}.dat
07.06.2005 18:37 3.011 jupdate-1.5.0_02-b09.log
07.06.2005 17:20 2.206 wpa.dbl
07.06.2005 16:51 123.392 itss.dll
07.06.2005 16:30 173.568 schedsvc.dll
07.06.2005 16:30 265.216 mstask.dll
07.06.2005 16:30 306.688 netapi32.dll
07.06.2005 16:30 10.752 mstinit.exe
07.06.2005 13:59 311.740 perfh009.dat
07.06.2005 13:59 40.128 perfc009.dat
07.06.2005 13:59 48.354 perfc007.dat
07.06.2005 13:59 316.924 perfh007.dat
07.06.2005 13:59 722.222 PerfStringBackup.INI
07.06.2005 13:56 16.832 amcompat.tlb
07.06.2005 13:56 23.392 nscompat.tlb
24.05.2005 13:21 237.552 FNTCACHE.DAT
22.05.2005 23:23 0 sss.exe
22.05.2005 21:07 22 $$$_.log
22.05.2005 21:05 1 vx.tll
22.05.2005 20:44 3.033 jupdate-1.4.2_01-b06.log
22.05.2005 19:35 2 tmp3.txt
22.05.2005 18:27 2.368 SVKP.sys
22.05.2005 16:53 0 h323log.txt
22.05.2005 16:04 25.065 wmpscheme.xml
22.05.2005 16:01 261 $winnt$.inf
22.05.2005 15:59 2.951 CONFIG.NT
22.05.2005 15:58 488 WindowsLogon.manifest
22.05.2005 15:58 488 logonui.exe.manifest
22.05.2005 15:57 749 ncpa.cpl.manifest
22.05.2005 15:57 749 cdplayer.exe.manifest
22.05.2005 15:57 749 wuaucpl.cpl.manifest
22.05.2005 15:57 749 sapi.cpl.manifest
22.05.2005 15:57 749 nwc.cpl.manifest
22.05.2005 15:56 21.740 emptyregdb.dat
2193 Datei(en) 392.466.243 Bytes
0 Verzeichnis(se), 13.436.039.168 Bytes frei
system.txt

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\WINDOWS

08.06.2005 16:15 504 win.ini
08.06.2005 13:54 1.125 winamp.ini
08.06.2005 12:34 535.925 WindowsUpdate.log
08.06.2005 12:28 0 0.log
08.06.2005 12:28 26.814 SchedLgU.Txt
08.06.2005 12:28 2.048 bootstat.dat
07.06.2005 17:26 5.625 Fix IE Log.txt
07.06.2005 17:25 106 Fix IE Log.BAK
07.06.2005 17:23 6.894 Active Setup Log.txt
07.06.2005 17:23 278.167 setupapi.log
07.06.2005 17:21 4.948 Active Setup Log.BAK
07.06.2005 17:18 572.214 iis6.log
07.06.2005 17:18 147.454 comsetup.log
07.06.2005 17:18 90.567 ntdtcsetup.log
07.06.2005 17:18 198.002 tsoc.log
07.06.2005 17:18 1.355 imsins.log
07.06.2005 17:18 13.841 tabletoc.log
07.06.2005 17:18 21.136 KB885250.log
07.06.2005 17:18 16.548 ocmsn.log
07.06.2005 17:18 50.891 netfxocm.log
07.06.2005 17:18 226.085 ocgen.log
07.06.2005 17:18 21.199 msgsocm.log
07.06.2005 17:18 403.175 FaxSetup.log
07.06.2005 17:18 145.916 msmqinst.log
07.06.2005 17:17 36.051 xpsp1hfm.log
07.06.2005 17:17 1.355 imsins.BAK
07.06.2005 17:17 12.736 KB840374.log
07.06.2005 17:16 17.311 KB841356.log
07.06.2005 17:16 18.070 dahotfix.log
07.06.2005 17:16 15.643 KB840315.log
07.06.2005 17:16 13.254 KB839645.log
07.06.2005 17:15 16.153 KB871250.log
07.06.2005 17:15 12.255 KB833987.log
07.06.2005 17:15 16.078 KB841873.log
07.06.2005 17:14 12.654 KB826939.log
07.06.2005 17:14 11.969 KB873376.log
07.06.2005 17:14 12.035 KB841533.log
07.06.2005 17:14 14.375 KB840987.log
07.06.2005 17:13 7.800 KB837001.log
07.06.2005 17:13 6.383 Q828026.log
07.06.2005 17:12 625 avmcoins.log
07.06.2005 17:12 6.111 KB828035.log
07.06.2005 17:11 28.122 KB825119.log
07.06.2005 17:11 27.764 KB824105.log
07.06.2005 17:10 27.154 KB823182.log
31.05.2005 14:28 108 atarigo.ini
26.05.2005 22:12 824.360 ntbtlog.txt
24.05.2005 12:54 17.560 KB893803v2.log
24.05.2005 12:53 24.776 KB885835.log
24.05.2005 12:52 23.994 KB890859.log
24.05.2005 12:52 4.682 updspapi.log
24.05.2005 12:52 12.090 KB890923-IE6SP1-20050225.103456.log
24.05.2005 12:52 16.271 KB893066.log
24.05.2005 12:51 13.779 KB892944.log
24.05.2005 12:51 16.538 KB893086.log
24.05.2005 12:51 14.083 KB873333.log
24.05.2005 12:51 11.513 KB888113.log
24.05.2005 12:50 11.493 KB891781.log
24.05.2005 12:50 11.491 KB888302.log
24.05.2005 12:50 11.003 KB890175.log
24.05.2005 12:50 11.049 KB885836.log
24.05.2005 12:50 10.942 KB873339.log
24.05.2005 12:02 1.083.995 setupapi.log.0.old
24.05.2005 11:58 203.171 svcpack.log
24.05.2005 10:11 119.322 KB828741.log
24.05.2005 10:11 126.832 KB835732.log
24.05.2005 10:10 85.916 Q329048.log
24.05.2005 10:10 113.390 Q329170.log
24.05.2005 10:10 85.684 Q329390.log
24.05.2005 10:09 113.682 Q329441.log
24.05.2005 10:09 85.624 Q329834.log
24.05.2005 10:09 113.635 Q810577.log
24.05.2005 10:08 113.737 Q810833.log
24.05.2005 10:07 113.723 Q811630.log
24.05.2005 10:07 113.835 Q817606.log
24.05.2005 09:33 22.851 KB834707-IE6SP1-20040929.091901.log
24.05.2005 09:32 38.507 KB823559.log
24.05.2005 09:28 2.141 Q329115.log
24.05.2005 09:27 1.752 Q323255.log
22.05.2005 22:21 80.182 DirectX.log
22.05.2005 21:44 227 system.ini
22.05.2005 21:31 50 wiaservc.log
22.05.2005 21:31 216 wiadebug.log
22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.BAK
22.05.2005 19:25 1.165 OEWABLog.txt
22.05.2005 18:53 6.216 KB842773.log
22.05.2005 18:53 179.656 setupact.log
22.05.2005 18:05 400 ODBC.INI
22.05.2005 18:00 433 nsw.log
22.05.2005 17:23 0 OpPrintServer.INI
22.05.2005 16:52 2.492 regopt.log
22.05.2005 16:51 0 Sti_Trace.log
22.05.2005 16:49 317 SBWIN.INI
22.05.2005 16:46 299.552 WMSysPrx.prx
22.05.2005 16:04 715.274 setuplog.txt
22.05.2005 16:02 8.192 REGLOCS.OLD
22.05.2005 16:01 1.246 setuperr.log
22.05.2005 15:59 0 control.ini
22.05.2005 15:58 4.161 ODBCINST.INI
22.05.2005 15:58 240 Windows Update.log
22.05.2005 15:57 749 WindowsShell.Manifest
22.05.2005 15:56 1.060 sessmgr.setup.log
22.05.2005 15:56 37 vbaddin.ini
22.05.2005 15:56 36 vb.ini
22.05.2005 15:55 128 DtcInstall.log
165 Datei(en) 25.620.570 Bytes
0 Verzeichnis(se), 13.436.030.976 Bytes frei
systemtemp.txt

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

08.06.2005 12:28 16.384 Perflib_Perfdata_600.dat
08.06.2005 12:28 10.367 jusched.log
07.06.2005 18:39 579 AZU60066.tmp
07.06.2005 18:38 3.881 AZU46110.tmp
07.06.2005 18:37 4.346 java_install_reg.log
07.06.2005 18:37 49.534 java_install.log
07.06.2005 18:34 1.690 MSIaf217.LOG
07.06.2005 18:21 0 Perflib_Perfdata_568.dat
07.06.2005 18:13 462 MSIec524.LOG
07.06.2005 17:44 462 MSI707b5.LOG
01.06.2005 11:48 234.488 MSI4622f.LOG
29.05.2005 13:01 72.127 azupdater_1.7.zip
29.05.2005 13:01 579 AZU63207.tmp
26.05.2005 22:22 222.171 MWAV.LOG
26.05.2005 22:22 1.542 mwXface.log
26.05.2005 14:00 283 wahtmltmp00.htm
26.05.2005 11:16 257.507 azplugins_1.3.1.jar
26.05.2005 11:15 688 AZU22698.tmp
26.05.2005 11:15 5.645.860 Azureus2.3.0.2.jar
26.05.2005 11:11 3.881 AZU10328.tmp
26.05.2005 10:42 49.691 daily.avc
26.05.2005 10:42 10.658 avp.klb
26.05.2005 09:36 50.918 troj009.avc
25.05.2005 19:05 193.088 mwavscan.com
25.05.2005 00:41 42.897 unp020.avc
25.05.2005 00:41 59.789 unp014.avc
24.05.2005 17:06 51 kb.log
24.05.2005 17:05 16.384 ~DF14FC.tmp
24.05.2005 16:22 16.384 Perflib_Perfdata_5bc.dat
24.05.2005 16:21 16.384 Perflib_Perfdata_1ac.dat
24.05.2005 16:01 163.840 ~WRF0000.tmp
24.05.2005 13:58 16.384 ~DFFBB7.tmp
24.05.2005 01:24 66.293 unp023.avc
24.05.2005 01:24 61.798 krnunp.avc
24.05.2005 01:09 9.155 config.lan
23.05.2005 10:41 34.409 gen999.avc
23.05.2005 10:41 47.214 troj026.avc
23.05.2005 10:41 11.327 fa.avc
23.05.2005 10:41 62.665 unp022.avc
23.05.2005 10:41 18.160 ext004.avc
23.05.2005 10:41 27.028 x-files.avc
23.05.2005 10:41 14.482 malw004.avc
23.05.2005 10:41 3.079 worm006.avc
23.05.2005 10:41 43.532 troj027.avc
23.05.2005 10:41 48.134 gen002.avc
23.05.2005 10:41 52.188 worm003.avc
23.05.2005 10:41 52.495 worm002.avc
23.05.2005 10:41 50.243 worm001.avc
23.05.2005 10:41 55.442 unp011.avc
23.05.2005 10:41 48.414 krnexe32.avc
23.05.2005 10:41 17.555 virus020.avc
22.05.2005 20:43 143.872 11cf7c.mst
22.05.2005 19:21 58.368 178bd8.mst
19.05.2005 11:57 26.815 krnengn.avc
19.05.2005 11:57 52.068 unp009.avc
19.05.2005 11:57 39.435 unp017.avc
19.05.2005 11:57 71.389 unp016.avc
19.05.2005 11:57 1.502 unp000.avc
179 Datei(en) 15.017.524 Bytes
0 Verzeichnis(se), 13.436.043.264 Bytes frei
P.S.: Ich hatte jetzt zwischendurch den IE als Standardbrowser ausgenommen und Opera als Standardbrowser eingesetzt. Daraufhin ist dieser immer abgestürtzt. Dann hab ich das bei Opera wieder ausgestellt, und er läuft wieder einwandfrei... Könnte es was mit dem Problem oben zu tun haben?
Dieser Beitrag wurde am 08.06.2005 um 17:36 Uhr von Demidrin editiert.
Seitenanfang Seitenende
08.06.2005, 17:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 22.05.2005 18:27 2.368 SVKP.sys

C:\WINDOWS\system32\SVKP.sys

imsins.BAK
C:\WINDOWS\imsins.BAK->ADS:itbtt Virus: Trojan:Win32/Agent.BQ
-----------------------------------------------------------------------------

W32/Surila-B ist ein Netzwerkwurm, der versuchen kann, einen Link zu sich oder zu
href="/virusinfo/analyses/w32mydoomw.html">W32/MyDoom-W an ICQ-Kontakte zu senden.


W32/Surila-B legt die Hauptkomponente von sich als dx32cxlp.exe im Windows-Systemordner und im "Alle Benutzer"-Autostart-Ordner sowie als systemst.exe im Windows-Systemordner ab. Der Wurm legt außerdem weitere Komponenten von sich in iexpl1orer.exe und SVKP.sys im Windows-Systemordner ab.


W32/Surila-B erstellt den folgenden Registrierungseintrag:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
iestart = <Pfad zu iexp1orer.exe>

Zusätzlich erstellt W32/Surila-B einen Dienst namens SVKP, der dafür sorgt, dass die Datei SVKP.sys ausgeführt wird, wenn der Dienst startet, z. B. beim Systemstart.
----------------------------

oder:

W32.Mugly.B

Weiters werden folgende Dateien im Systemordner angelegt:

attached.zip //Kopier des Wurms, die als Email Attachment versendet wird
winit.exe //Dies ist eine Kopie des Wurms W32.Spybot.Worm
uglym.jpg //Das Bild das angezeigt wird.
ANSMTP.DLL //Die Email Engine
bszip.dll //Archiv Engine
SVKP.sys

Nimmt folgende Änderungen an der Registry durch:

Erzeugt die folgenden Registry Keys:
HKEY_CLASSES_ROOT\ANSMTP.MassSender
HKEY_CLASSES_ROOT\ANSMTP.MassSender.1
HKEY_CLASSES_ROOT\ANSMTP.OBJ
HKEY_CLASSES_ROOT\ANSMTP.OBJ.1
HKEY_CLASSES_ROOT\CLSID\{253664FB-EDFC-4AC6-BD69-B322F466AEED}
HKEY_CLASSES_ROOT\CLSID\{887A577B-406B-48FF-80CB-70752BFCD7B4}
HKEY_CLASSES_ROOT\TypeLib\{DE6317F7-6EF0-45C2-88D1-8E09415817F1}
HKEY_CLASSES_ROOT\Interface\{68B8DCDB-EFA4-420A-BB8A-71B9892A2063}
HKEY_CLASSES_ROOT\Interface\{1E98666F-6260-42C9-B846-32B20FDEFE7B}
HKEY_CLASSES_ROOT\Interface\{A5F6C90C-ABE4-4C57-A421-8C5A202AA9F8}
HKEY_CLASSES_ROOT\Interface\{B13281CF-8778-4C98-AE23ABBA4637A33D}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP
um ein neues Service zu erstellen und den dazugehörigen Key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\SVKP
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=w&submit=suche&show=W32.Mugly.B

ANSMTP.DLL
bszip.dll
SVKP.sys

----------------------------------------------------

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SVKP

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2005, 19:03
Member

Themenstarter

Beiträge: 17
#5 Hier das Ergebnis der Suche:

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SVKP" 08.06.2005 19:01:53

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\Control]
"ActiveService"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP\Enum]
"0"="Root\\LEGACY_SVKP\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\Control]
"ActiveService"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]
"DisplayName"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP\Enum]
"0"="Root\\LEGACY_SVKP\\0000"
Seitenanfang Seitenende
08.06.2005, 21:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP]
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

•Download Registry Search Tool :--> noch einmal ;)
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SVKP

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

dx32cxel

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

suche /falls du es findest--> schreibe es mir, dann loeschen
C:\WINDOWS\system32\ANSMTP.DLL
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\system32\dx32cxlp.exe
C:\WINDOWS\imsins.BAK
C:\WINDOWS\imsins.log
--------------------------------------------------
imsins.BAK:vjkce
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.AP.3
imsins.log:dsehq
---------------------------------------------------

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\dx32cxel
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.06.2005, 22:08
Member

Themenstarter

Beiträge: 17
#7 Hab das mit der fixme.reg gemacht...

Ok, hier die neue SVKP - Log:

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SVKP" 08.06.2005 21:59:18

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"Service"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000]
"DeviceDesc"="SVKP"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP\0000\LogConf]
dx32cxel - Log:

Zitat

nix gefunden
Diese Dateien habe ich gefunden: Soll ich die jetzt löschen?

Zitat

C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\imsins.BAK
C:\WINDOWS\imsins.log
Seitenanfang Seitenende
08.06.2005, 23:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du musst leider in die Registry gehen und den Dienst manuell loeschen:

gehe in den abgesicherten modus, dann Start-->Ausfuehren--> regedit

suche/loesche:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP

falls du es findest :
# HKEY_CLASSES_ROOT\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}
# HKEY_CLASSES_ROOT\AppID\WStart.DLL
# HKEY_CLASSES_ROOT\WStart.WHttpHelper
# HKEY_CLASSES_ROOT\WStart.WHttpHelper.1
# HKEY_CLASSES_ROOT\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0
# HKEY_LOCAL_MACHINE\Software\WSoft
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9896231A-C487-43A5-8369-6EC9B0A96CC0}


Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



PC neustarten


dann loesche:
C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\imsins.BAK
C:\WINDOWS\imsins.log
C:\WINDOWS\System32\tmp3.txt
C:\WINDOWS\System32\tcpservice2.exe
C:\WINDOWS\System32\wstart.dll


(Adware:Adware/Admess No disinfected C:\WINDOWS\System32\tmp3.txt)


kannst du herausfinden , wozu das gehoert ????

C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.BAK
-------------------------------

dann noch einmal:


•Download Registry Search Tool :--> noch einmal
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

SVKP

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2005, 12:40
Member

Themenstarter

Beiträge: 17
#9 Alle aufgelisteten Registry - Einträge gelöscht, bis auf diese, die nicht gefunden habe:

Zitat

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVKP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SVKP

# HKEY_CLASSES_ROOT\AppID\{F6BDB4E5-D6AA-4D1F-8B67-BCB0F2246E21}
# HKEY_CLASSES_ROOT\AppID\WStart.DLL
# HKEY_CLASSES_ROOT\WStart.WHttpHelper
# HKEY_CLASSES_ROOT\WStart.WHttpHelper.1
# HKEY_CLASSES_ROOT\CLSID\{9896231A-C487-43A5-8369-6EC9B0A96CC0
# HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9896231A-C487-43A5-8369-6EC9B0A96CC0}
Alle Dateien wurden gelöscht, bis auf die, die ich net gefunden habe:

Zitat

C:\WINDOWS\System32\tcpservice2.exe
C:\WINDOWS\System32\wstart.dll

Zitat

C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.BAK
Dazu kann ich nicht viel sagen:
- Es wird mit dem Viewer der Channelsdefinition geöffnet
- hat komische Phrasen drinne, Beispiel:

Zitat

ActivePreset Church al þþ
Óp EFX PLUGIN GUID
Source Send Info
Die Registry Suche ergabe folgendes:

Zitat

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "SVKP" 09.06.2005 12:40:13

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1220945662-813497703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"006"="SVKP.sys"
Seitenanfang Seitenende
09.06.2005, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Removed Stream! C:\WINDOWS\OpPrintServer.INI:oyupcz
•AboutBuster
http://virus-protect.org/antispywaretools.html

4. Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
8. Klicke auf "Yes", um die zweite Runde zu beginnen.
9. Klicke auf "Save log" (speichere das Logfile).
10. Klicke auf "Exit".

poste das Log ;)

---------------------------------------------------------------------------

die Verseuchung war +- am 22.5.

22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
22.05.2005 19:49 3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.BAK

22.05.2005 19:35 2 tmp3.txt
22.05.2005 18:27 2.368 SVKP.sys

also, das beste: loeschen

C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
C:\WINDOWS\{00000000-00000000-0000000C-00001102-00000004-00531102}.BAK

in den temporaeren Dateien loeschen:

C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp

22.05.2005 20:43 143.872 11cf7c.mst
22.05.2005 19:21 58.368 178bd8.mst

Zitat

[HKEY_USERS\S-1-5-21-1220945662-813497703-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"006"="SVKP.sys"
•MRU-Clear XP 1.2
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat.
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html



dann arbeite das bitte ab:
--> falls du den escan schon geladen hast (deinstalliere ihn vorher)
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2005, 13:21
Member

Themenstarter

Beiträge: 17
#11 Ok, Dateien hab ich gelöscht...

Escan werd ich noch machen, sobald ich dazu komme... Wenn ich noch was finde meld ich mich hier nochmal...

Ansonsten hab ich das Gröbste überstanden, oder?

Auf jeden Fall, herzlichen, herzlichen Dank für die Hilfe, Sabina!! ;)

Mfg Demidrin
Seitenanfang Seitenende
09.06.2005, 13:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun, das Groebste scheint ueberstanden zu sein, allerdings ist es sehr muehselig, aus der Fuelle der Dateien die Malware "rauszufischen" ....und ich bin ja kein Virenscanner ;)

Du musst also noch mit Virenscannern arbeiten und vor allem, du solltest die Windowsupates machen (SP2) und mit einem eingeschraenkten Benutzerkonto arbeiten)
http://virus-protect.org/administrator.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: