Home » Viren, Trojaner & Malware Forum » System Stopped mitten auf dem Desktop » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

System Stopped mitten auf dem Desktop

07.06.2005, 22:42

Bobbel2

...neu hier

Beiträge: 6

#1 Guten Abend liebe Leute
Ich habe ganz schön derbe Probleme mit meinen Rechner
Ich habe mir nen Virus eingefangen und wie ich soweit feststellen konnte
eine Variante von Coolwebsearch trojan (CWS.Smartsearch.2)
So folgendes Problem ist nun, ich habe schon versucht mit Hijackthis nen
Logfile zu erstellen geht auch alles soweit nur ich kann dies nicht abspeichern
um es hier reinzuposten.
Das Programm wird immer geschlossen beim Versuch das Logfile zu speichern.
Das Programm Spybot Search&Destroy hängt sich beim Scannen auch immer auf.
Mein Desktop hat nen Schwarzes Schild wo drauf steht System Stopped.
Nach dem der Rechner hochgefahren ist kommt immer nen Fenster mit
ner Warnug vom Programm SPYSheriff, obwohl ich dieses Programm nie installiert habe.
Was für ein Chaos sage ich euch, nur weil ich meine Firewall für 5 min ausgeschaltet habe :-(
So ich habe nun mit dem Programm CWShredder mal nen Scan durchgeführt.
Dort steht:
CWShredder v2.0. scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.

System Information:
Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\System32
AppData folder: C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten
Username: Besitzer

Hosts file not present
CWS.Mupdate Registry value: HKLM\..\Run [sys] regedit -s sysdll.reg
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe C:\WINDOWS\System32\kernels32.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found System.ini file: C:\WINDOWS\system.ini (0 bytes, A)
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
RUN: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
RUN: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [nwiz] nwiz.exe /install
RUN: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
RUN: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
RUN: [sys] regedit -s sysdll.reg
RUN: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
RUN: [WinampAgent] C:\Programme\Winamp\winampa.exe
RUN: [System] C:\WINDOWS\System32\kernels32.exe
RUN: [PerformCl] C:\WINDOWS\System32\perfcl.exe
RUN: [PerformCl] C:\WINDOWS\System32\perfcl.exe
RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
RUN: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
RUN: [Windows installer] C:\winstall.exe
RUN: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
RUN: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

**** Browser Helper Objects ****

BHO: [] C:\Programme\Spybot - Search & Destroy\SDHelper.dll

**** IE Toolbars ****

**** IE Extensions ****

IEExt: [Mobilen Favoriten erstellen]
IEExt: [Mobilen Favoriten erstellen]
IEExt: [Messenger] C:\Programme\Messenger\MSMSGS.EXE

**** Hosts File Entries ****

HOSTS: ó

**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Local Page: C:\WINDOWS\System32\blank.htm

**** IE Context Menu (Right click) ****

**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0B01FC5E-B4E1-41AB-9641-584D1606D0BE}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0B01FC5E-B4E1-41AB-9641-584D1606D0BE}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8514165F-42BF-4087-BA5B-805451C40DC5}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{8514165F-42BF-4087-BA5B-805451C40DC5}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{72464689-9A03-4774-A279-5F13268B1837}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{72464689-9A03-4774-A279-5F13268B1837}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EEB735E5-D8D2-4821-96B4-17DC9D696EF9}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EEB735E5-D8D2-4821-96B4-17DC9D696EF9}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EC391482-8873-47DB-ABB4-ADB460629F8B}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{EC391482-8873-47DB-ABB4-ADB460629F8B}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{769BEDA0-B2D0-4C34-8022-7C329C59F242}] SEQPACKET 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{769BEDA0-B2D0-4C34-8022-7C329C59F242}] DATAGRAM 5
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}] DATAGRAM 6

**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No

**** Downloaded Program Files ****

{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117886947781] C:\WINDOWS\System32\wuweb.dll
{9F1C11AA-197B-4942-BA54-47A8489BB47F} [http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.4553935185] C:\WINDOWS\System32\iuctl.dll

**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

- END OF REPORT -

Ich habe auch schon versucht das neue Service Pack 2 zu installieren, dies scheitert auch irgendwann und bricht die installation ab.

Die Funktion des Rechners ist sonst einwandfrei
ich kann alles machen.
Wäre sehr nett wenn mir einer da mal nen Rat geben könnte, außer Format C
einzuleiten.
Gruß Bobbel

Dieser Beitrag wurde am 07.06.2005 um 22:47 Uhr von Bobbel2 editiert.

09.06.2005, 22:17

slide

...neu hier

Beiträge: 10

#2 Hast du mal versucht, die Scanner im abgesicherten Modus laufen zu lassen?

09.06.2005, 23:50

Sabina

Ehrenmitglied

Beiträge: 29434

#3 Bobbel2

Gehe in die registry

Start-->Ausfuehren--> regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run

mit rechtsklick loeschen

[sys] regedit -s sysdll.reg
[System] C:\WINDOWS\System32\kernels32.exe
[PerformCl] C:\WINDOWS\System32\perfcl.exe
[PerformCl] C:\WINDOWS\System32\perfcl.exe
[Windows installer] C:\winstall.exe
[SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

Start-->Ausfuehren--> msconfig reinschreiben

Systemstart

nimm das Haekchen raus vor:

RUN: [sys] regedit -s sysdll.reg
RUN: [System] C:\WINDOWS\System32\kernels32.exe
RUN: [PerformCl] C:\WINDOWS\System32\perfcl.exe
RUN: [PerformCl] C:\WINDOWS\System32\perfcl.exe
RUN: [Windows installer] C:\winstall.exe
RUN: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

PC neustarten

bestaetige die Veraenderung des Systemstarts mit ja.

----------------------------------------------------------------

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Windows\sysdll.reg
C:\WINDOWS\System32\kernels32.exe
C:\winstall.exe
C:\WINDOWS\System32\perfcl.exe

PC neustarten

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

---------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispAppearancePage"=-
"Wallpaper"=-
"WallpaperStyle"=-
"NoDispBackgroundPage"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoActiveDesktopChanges"=-

[HKEY_CURRENT_USER\Control Panel\Desktop]
"Wallpaper"=-
"WallpaperStyle"=-

[HKEY_CURRENT_USER\Control Panel\Colors]
"Background"="0 78 152"

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.

mache Onlinescans (3 oder 4--> poste alles)
http://virus-protect.org/onlinescan.html

dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

11.06.2005, 00:20

Bobbel2

...neu hier

Themenstarter

Beiträge: 6

#4 Hi Sabina
Erstmal vielen Dank das du dich mit meinen
Problem beschäfitigst.
Ich hoffe ich habe soweit alles richtig gemacht.
Hier der Post vom Programm "Silentrunner":

"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"Windows installer" = "C:\winstall.exe" [null data]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"Zone Labs Client" = "C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe" ["Zone Labs Inc."]
"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\point32.exe"" [MS]
"DAEMON Tools-1033" = ""C:\Programme\D-Tools\daemon.exe" -lang 1033" ["DAEMON'S HOME"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"Ad-aware" = ""C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c" ["Lavasoft Sweden"]
"AdaptecDirectCD" = ""C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"" ["Roxio"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"WindowsUpdate" = "C:\WINDOWS\System\svchost.exe /s" [null data]
"System" = "C:\WINDOWS\System32\kernels32.exe" [null data]
"MSConfig" = "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\ {++}
"Flag" = 84 [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]
"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]
"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]
"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"
-> {CLSID}\InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~4\Office\OLKFSTUB.DLL" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{203B1C4D9-BC71-8916-38AD-9DEA5D213614}" = ** INVALID DATA (not CLSID) **

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\System32\kernels32.exe" [MS], [null data]

Group Policies [Description]:
-----------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper if Active Desktop is enabled]

Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.

Startup items in "Besitzer" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Erinnerungen für Microsoft Works-Kalender" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe" ["Microsoft® Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\INetRepl.dll" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\INetRepl.dll" [MS]

Internet Explorer Address Prefixes:
-----------------------------------

Prefix for bare domain ("domain-name-here.com")

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Default Prefix\
HIJACK WARNING! (Default) = "http://allstarsearch.net/gall.php?url="

Prefix for specific service (i.e., "www")

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
HIJACK WARNING! "home" = "http://allstarsearch.net/gall.php?url="
HIJACK WARNING! "mosaic" = "http://allstarsearch.net/gall.php?url="
HIJACK WARNING! "www" = "http://allstarsearch.net/gall.php?url="

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 1 domain name to an IP address,
1 of the IP addresses is *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]

----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

Den Online Scan reiche ich sofort nach :-)
Hier der Online Scan mit BITDEFENDER

C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe: infected with Backdoor.Robobot.W
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom.zip=>besitzer@servedby.advertising[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom1.zip=>besitzer@advertising[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>related.htm: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DoubleClick.zip=>besitzer@doubleclick[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DoubleClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FastClick.zip=>besitzer@fastclick[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FastClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox.zip=>besitzer@hitbox[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox1.zip=>besitzer@hg1.hitbox[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer4.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer4.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MediaPlex.zip=>besitzer@mediaplex[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MediaPlex.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexList.zip=>besitzer@sexlist[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexList.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker.zip=>besitzer@sextracker[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker1.zip=>besitzer@counter6.sextracker[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ValueClick.zip=>besitzer@valueclick[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ValueClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe: infected with Backdoor.Robobot.W
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1.qtdfmp: infected with Dropped:Trojan.Downloader.Small.AJP
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\5.qtdfmp: suspect BehavesLike:Trojan.Downloader
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\6.qtdfmp: infected with Trojan.Downloader.Small.AUX
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\7.qtdfmp: suspect BehavesLike:Trojan.Downloader
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\allstar.exe: infected with Trojan.Proxy.339
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\bym.exe: suspect BehavesLike:Trojan.TrustedZone
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\go.exe: infected with Trojan.Dropper.Small.WE
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\pps.exe: infected with Dropped:Trojan.Startpage.XS
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP339\A0042073.exe: infected with Backdoor.Robobot.W
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP340\A0042576.exe: infected with Backdoor.Robobot.W
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP342\A0042604.exe: infected with Backdoor.Robobot.W
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP367\A0044193.exe: infected with Trojan.Bkclient.C
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044286.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044287.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044288.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044290.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044307.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044308.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044309.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044310.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044331.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044332.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044333.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044334.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044345.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044346.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044347.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044348.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044363.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044364.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044365.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP369\A0044366.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP384\A0044673.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP384\A0044674.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP384\A0044675.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP384\A0044676.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045646.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045648.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045649.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045650.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045658.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045659.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045660.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045661.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045675.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045677.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045678.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045679.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045680.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045691.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045692.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045693.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045694.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045695.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045712.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045713.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045715.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045716.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045717.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045731.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045732.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045733.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045734.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045735.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045753.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045754.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045755.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045756.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045758.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045766.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045767.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045768.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045769.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045771.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045779.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045780.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045781.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045782.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045783.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045797.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045798.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045799.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045800.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP388\A0045801.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP389\A0045810.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045832.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045838.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045839.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045840.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045841.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045842.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045849.dll: infected with Trojan.Startpage.XS
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045860.dll: infected with Trojan.Downloader.Small.AVW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045863.dll: infected with Trojan.Hooker.L
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045864.dll: infected with Trojan.Clicker.Redir.B
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045869.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045870.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045871.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045872.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045874.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045882.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045883.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045884.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045885.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045887.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045899.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045900.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045901.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045902.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045903.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045912.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045913.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045914.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045915.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0045916.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046912.exe: infected with Trojan.Downloader.BRD
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046913.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046914.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046915.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046916.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046926.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046927.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046931.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046932.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046936.exe: infected with Trojan.Downloader.Small.RI
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046940.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046941.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046942.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046944.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046952.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046953.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046954.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046956.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046965.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046966.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046969.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046970.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046976.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046977.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046978.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0046979.dll: infected with Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0047026.dll: suspect BehavesLike:Trojan.FWDisable
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0047028.dll: infected with Backdoor.Agent.IW
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0047029.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\System Volume Information\_restore{03E0C1B6-8057-412B-8907-67B093ED322F}\RP391\A0047030.dll: infected with Trojan.Downloader.Small.AJP
C:\WINDOWS\system\svchosthook.dll: infected with Backdoor.Agent.IW
C:\WINDOWS\system32\bre.dll: infected with Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\idr_load12.exe: infected with Dropped:Trojan.Downloader.Small.RI
C:\WINDOWS\system32\init32m.exe: infected with Trojan.Downloader.Agent.HO
C:\WINDOWS\system32\rch.dll: infected with Trojan.Hooker.L
C:\WINDOWS\system32\rdrlib.dll: infected with Trojan.Clicker.Redir.B
C:\WINDOWS\system32\syst2.exe: suspect BehavesLike:Trojan.StartPage
C:\WINDOWS\system32\syst3.exe: infected with Trojan.Dropper.Small.WV
C:\WINDOWS\system32\thun32.dll: infected with Trojan.Proxy.Small.BK
C:\WINDOWS\system32\trf32.dll: infected with Trojan.Downloader.Small.AVW
C:\WINDOWS\system32\vxgame1.exe: infected with Trojan.Dropper.Small.WV
C:\WINDOWS\system32\vxgame3.exe: infected with Trojan.Downloader.Agent.HO
C:\WINDOWS\system32\vxh8jkdq1.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\vxh8jkdq5.exe: suspect BehavesLike:Trojan.Downloader
C:\WINDOWS\system32\vxh8jkdq6.exe: infected with Trojan.Downloader.Small.AUX
C:\WINDOWS\system32\vxh8jkdq7.exe: suspect BehavesLike:Trojan.Downloader
C:\WINDOWS\system32\vxh8jkdq8.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\wirl.dll: infected with Trojan.Startpage.XS
C:\WINDOWS\system32\wuactl2.exe: infected with Trojan.Downloader.BRD

Dieser Beitrag wurde am 11.06.2005 um 08:51 Uhr von Bobbel2 editiert.

11.06.2005, 15:29

Sabina

Ehrenmitglied

Beiträge: 29434

#5 Hallo@Bobbel2

Gehe in die Registry

Start-->Ausfuehren--> regedit

navegiere zum Schluessel: und loesche:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Windows installer" = "C:\winstall.exe"
"WindowsUpdate" = "C:\WINDOWS\System\svchost.exe /s"
"System" = "C:\WINDOWS\System32\kernels32.exe"

HKCU\Software\Classes\CLSID\(203B1C4D9-BC71-8916-38AD-9DEA5D213614)

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{203B1C4D9-BC71-8916-38AD-9DEA5D213614}

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows installer" = "C:\winstall.exe"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Shell" = "Explorer.exe C:\WINDOWS\System32\kernels32.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
"home" = "http://allstarsearch.net/gall.php?url="
"mosaic" = "http://allstarsearch.net/gall.php?url="
"www" = "http://allstarsearch.net/gall.php?url="

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\"Wallpaper" = "C:\WINDOWS\desktop.html"

This entry stores the setting of the Enable Active Desktop Group Policy. Group Policy adds this entry to the registry with a value of 1 when you enable the policy. If you disable the policy or set it to Not configured, Group Policy deletes this entry from the registry, and the system behaves as though the value is 0.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 --> aendere in 0, oder wenn es nicht geht, dann : Not configured

Deaktivieren Wiederherstellung--> nach der Reinigung wieder aktivieren
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\5.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\6.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\7.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\allstar.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\bym.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\go.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\pps.exe
C:\WINDOWS\system\svchosthook.dll
C:\winstall.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\system32\bre.dll
C:\WINDOWS\system32\idr_load12.exe
C:\WINDOWS\system32\init32m.exe
C:\WINDOWS\system32\rch.dll
C:\WINDOWS\system32\rdrlib.dll
C:\WINDOWS\system32\syst2.exe
C:\WINDOWS\system32\syst3.exe
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\trf32.dll
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxh8jkdq1.exe
C:\WINDOWS\system32\vxh8jkdq5.exe
C:\WINDOWS\system32\vxh8jkdq6.exe
C:\WINDOWS\system32\vxh8jkdq7.exe
C:\WINDOWS\system32\vxh8jkdq8.exe
C:\WINDOWS\system32\wirl.dll
C:\WINDOWS\system32\wuactl2.exe

PC neustarten

•HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button
lösche alles , lasse nur stehen:
127.0.0.1 localhost

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

ueberpruefen, ob das geloescht ist:
C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe

dann scanne bitte noch einmal (Onlinescan) + berichte
__________
MfG Sabina

rund um die PC-Sicherheit

11.06.2005, 21:10

Bobbel2

...neu hier

Themenstarter

Beiträge: 6

#6 @ Sabina
Ich habe da jetzt nen Problem
ich kann die Dateien nicht finden:

Start-->Ausfuehren--> regedit

navegiere zum Schluessel: und loesche:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"Windows installer" = "C:\winstall.exe"
"WindowsUpdate" = "C:\WINDOWS\System\svchost.exe /s"
"System" = "C:\WINDOWS\System32\kernels32.exe"

Wenn ich die regedit aufrufe dann kommen nur 5 Dateien
die alle mit "HKEY_" anfangen
Wo finde ich die anderen zb. "HKLM,HKCU"
Oder bin ich völlig von der Rolle und sehe den Wald vor Lauter Bäumen nicht.
Gruß Bobbel

11.06.2005, 22:47

Sabina

Ehrenmitglied

Beiträge: 29434

HKCU-->HKEY_CURRENT_USER

HKLM\SOFTWARE\Microsoft--> dann weiterklicken-->Windows\CurrentVersion\Run\

__________
MfG Sabina

rund um die PC-Sicherheit

11.06.2005, 22:57

Heron

Member

Beiträge: 1132

#8 @Bobbel

HKLM = HKEY_LOCAL_MACHINE
HKCU = HKEY_CURRENT_USER

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

12.06.2005, 19:47

Bobbel2

...neu hier

Themenstarter

Beiträge: 6

#9 @ Sabina
So ich habe all dies gemacht was du beschrieben hast.
Ich hoffe das du mit den jetzigen Onlinescan was anfangen kannst.
Ich bedanke mich im voraus.
MFG Bobbel

C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe: infected with Backdoor.Robobot.W
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom.zip=>besitzer@servedby.advertising[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom1.zip=>besitzer@advertising[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Advertisingcom1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>related.htm: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DoubleClick.zip=>besitzer@doubleclick[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DoubleClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FastClick.zip=>besitzer@fastclick[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FastClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox.zip=>besitzer@hitbox[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox1.zip=>besitzer@hg1.hitbox[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\HitBox1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer4.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\InternetExplorer4.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MediaPlex.zip=>besitzer@mediaplex[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MediaPlex.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer1.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer2.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer2.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer3.zip=>sbRecovery.reg: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MSMediaPlayer3.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexList.zip=>besitzer@sexlist[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexList.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker.zip=>besitzer@sextracker[2].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker1.zip=>besitzer@counter6.sextracker[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SexTracker1.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ValueClick.zip=>besitzer@valueclick[1].txt: password protected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ValueClick.zip=>sbRecovery.ini: password protected
C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe: infected with Backdoor.Robobot.W
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1.qtdfmp: infected with Dropped:Trojan.Downloader.Small.AJP
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\5.qtdfmp: infected with Trojan.Downloader.Small.AWA
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\6.qtdfmp: infected with Trojan.Downloader.Small.AUX
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\7.qtdfmp: suspect BehavesLike:Trojan.Downloader
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\allstar.exe: infected with Trojan.Proxy.339
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\bym.exe: suspect BehavesLike:Trojan.TrustedZone
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\go.exe: infected with Trojan.Dropper.Small.WE
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\pps.exe: infected with Dropped:Trojan.Startpage.XS
C:\WINDOWS\system\svchosthook.dll: infected with Backdoor.Agent.IW
C:\WINDOWS\system32\bre.dll: infected with Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\idr_load12.exe: infected with Dropped:Trojan.Downloader.Small.RI
C:\WINDOWS\system32\init32m.exe: infected with Trojan.Downloader.Agent.HO
C:\WINDOWS\system32\rch.dll: infected with Trojan.Hooker.L
C:\WINDOWS\system32\rdrlib.dll: infected with Trojan.Clicker.Redir.B
C:\WINDOWS\system32\syst2.exe: suspect BehavesLike:Trojan.StartPage
C:\WINDOWS\system32\syst3.exe: infected with Trojan.Dropper.Small.WV
C:\WINDOWS\system32\thun32.dll: infected with Trojan.Proxy.Small.BK
C:\WINDOWS\system32\trf32.dll: infected with Trojan.Downloader.Small.AVW
C:\WINDOWS\system32\vxgame1.exe: infected with Trojan.Dropper.Small.WV
C:\WINDOWS\system32\vxgame3.exe: infected with Trojan.Downloader.Agent.HO
C:\WINDOWS\system32\vxh8jkdq1.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\vxh8jkdq5.exe: infected with Trojan.Downloader.Small.AWA
C:\WINDOWS\system32\vxh8jkdq6.exe: infected with Trojan.Downloader.Small.AUX
C:\WINDOWS\system32\vxh8jkdq7.exe: suspect BehavesLike:Trojan.Downloader
C:\WINDOWS\system32\vxh8jkdq8.exe: infected with Dropped:Trojan.Downloader.Small.AJP
C:\WINDOWS\system32\wirl.dll: infected with Trojan.Startpage.XS

12.06.2005, 23:41

Sabina

Ehrenmitglied

Beiträge: 29434

#10 Bobbel2

Gehe in die Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
"AntivirusDisableNotify" = "1"--> aendere in 0
"FirewallDisableNotify" = "1"--> aendere in 0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\
"EnableFirewall" = "0"--> aendere in 1

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe
C:\WINDOWS\system\svchosthook.dll
C:\WINDOWS\system32\bre.dll
C:\WINDOWS\system32\idr_load12.exe
C:\WINDOWS\system32\init32m.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\5.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\6.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\7.qtdfmp
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\allstar.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\bym.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\go.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\pps.exe
C:\WINDOWS\system32\rch.dll
C:\WINDOWS\system32\rdrlib.dll
C:\WINDOWS\system32\syst2.exe
C:\WINDOWS\system32\syst3.exe
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\trf32.dll
C:\WINDOWS\system32\vxgame1.exe
C:\WINDOWS\system32\vxgame3.exe
C:\WINDOWS\system32\vxh8jkdq1.exe
C:\WINDOWS\system32\vxh8jkdq5.exe
C:\WINDOWS\system32\vxh8jkdq6.exe
C:\WINDOWS\system32\vxh8jkdq7.exe
C:\WINDOWS\system32\vxh8jkdq8.exe
C:\WINDOWS\system32\wirl.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein+ urls
http://virus-protect.org/temp.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
«
HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

13.06.2005, 23:05

Bobbel2

...neu hier

Themenstarter

Beiträge: 6

#11 @Sabina
Hi und guten Abend
So habe alles durchgeführt was da stand.
Nur mit den Logfile von Hijackthis habe ich ein Problem,
ich kann ihn nicht abspeichern um ihn hier rein zustellen.
Immer wenn ich auf speichern gehe dann wird das Programm beendet, von Hijackthis.
Ich habe das Logfile fotografiert, kann ich dir das Bild per E-Mail schicken
damit du es auswerten kannst???
MFG
Bobbel

13.06.2005, 23:42

Sabina

Ehrenmitglied

Beiträge: 29434

#12 du kannst es hier reinstellen , oder hast du einen Server, wo du das Bild hochladen kannst ?

(deinstalliere HijackThis und lade es neu)......

-----------------------

Deaktivieren Wiederherstellung (dann aktiviere sie wieder)
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann scanne bitte noch einmal mit Bitdefender und escan + berichte
__________
MfG Sabina

rund um die PC-Sicherheit

14.06.2005, 21:56

Bobbel2

...neu hier

Themenstarter

Beiträge: 6

#13 @ Sabina
So ich habe Hijackthis nochmal deinstalliert und wieder neu
installiert aber genau das gleiche wie vorher.
Ich habe halt jetzt das Bild vom Logfile hier reingestellt.
Unter:
[url]http://people.freenet.de/brzoza/bild2.JPG

Ich hoffe du kannst da was drauf erkennen und mir sagen was ich fixen soll.
MFG
Bobbel[/url]

14.06.2005, 23:07

Sabina

Ehrenmitglied

Beiträge: 29434

#14 da ist alles in Ordnung.

mache folgendes:arbeite alles ab und poste es

http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1