AVG meldet C:\WINDOWS\system32\rdsndin.exe (Trojaner)

#16

Zitat

prefetch vll

vll = Abkürzung für "vielleicht"
Prefetch = ein Ordner, in dem Windows Dateien für den schnelleren Zugriff zwischenspeichert.

Und offenbar bist Du immer noch verseucht... wadde mal, ich lad mal eben den eScan auf meinen Server, dann kannste den mal downloaden - hoffe, dass das so klappt
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#17 hi blueslayah,

ich muss nochmal schnell weg. hoff du bist so geg. 7 wieder online. hab nicht damit gerechnet, dass jemand so schnell antwortet. bis dann..

danke und gruß!
gare

#18 http://managor.de/public/escheck.exe

Auf dem aktuellen Stand (habe gerade noch ein Update gemacht) inkl. eScanCheck. Einfach nach c:\ entpacken, so dass Du anschließend den Ordner c:\bases_x hast

eScanCheck (c:\escheck) starten

-> Sonstiges -> eScan - Download / Update / Start -> Haken bei eScan starten setzen -> Start

Nach dem Scan:
eScanCheck -> Datei -> eScan-Log öffnen

halt alles, was hier steht.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#19 hi blueslayah,

danke für die file!! hat auch tatsächlich funktioniert, zunächst zumindest. escan hat mehrere vieren gefunden, bemerkt, dass ich es kaufen müsse um diese damit entfernen zu können und hat dann, wie bei allem anderen zuvor, ein problem festgestellt und musste beendet werden. ich hab mal das rauskopiert, was es bis dahin gefunden hat.

File C:\Dokumente und Einstellungen\Hose Maki\Desktop\hijackthis\backups\backup-20050727-205028-143.dll tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\hijackthis\backups\backup-20050727-205028-516.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "MyWebSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "mysearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken.


vielleicht haben diese armseeligen würstchen ja eine strategie entwickelt, die alle üblichen maßnahmen blockiert indem sie sie einfach abwürgt...?

gruß gare!

#20 hmmm... ich würde einfach mit Spybot S&D und AdAware mal Scannen und das Zeugs entfernen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#21 hi nochmal,
ein letzter hilferuf!! wenn euch jetzt nix mehr einfällt werd ich ihn wohl platt machen müssen. hab mit spybot und adaware gescannt und alles gelöscht was die gefunden haben. diese Schei... ballon-warnung geht allerdings nachwievor auf (ca. alle 5 min.), die rdsndin.exe wird immer noch als trojaner deklariert und die explorer-suche kackt nachwievor ab, egal wonach ich suche..

gebt alles! ich liebe euch


gruß gare

#22 Hallo Gare,

dasselbe Problem habe ich vor einer Woche gehabt und seitdem nicht mehr.

Du sollst erstmals solche Dateien löschen: HCLEAN32.EXE, balloon.wav, und solche Dateien wie FS1.CAB im _Restore\Archiv, die TR/click.526 und HCLEAN32 enthalten. Den Inhalt dieser Dateien sieht man mit WinZip...

Ich habe aber mit Escan erfolgreich gelöscht.

Ich habe eine interessante Adresse gefunden: http://www.iamnotageek.com/a/tkbellexe.exe.php

im Autostart sollte auch diese Datei "tkbellexe.exe" entfernt werden u.a.m....

Wenn es nur per Hand erfolgen soll, auf Platte, im Autostart und im Registry , komme ich wieder hier, um eine ganze andere tolle Adresse zu geben, die ich mir gestern gefunden habe und wo alle Dateien, je nach Virus oder Trojaner, genau aufgelistet sind.

Ich muß mich aber erst im anderem Betriebssystem einloggen, um die Adresse wieder zu finden. Ich komme dann wieder hier...

Bis dann,

Merlinux, der leider auf Urlaub verzichten mußte ... grrrr

#23 hallo,gare

KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip

Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot (anhaken)

C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
C:\WINDOWS\System32\CISVVC.EXE
C:\WINDOWS\SYSTEM32\rdsndin.exe


und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC NEUSTARTEN

------------------------------------------------------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten


------------------------------------------------------------------------------
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
*Doppelklick (Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst --- poste C:\log.txt

Pfind
http://www.bleepingcomputer.com/files/pfind.php
laden -- entpacken -- in C:\Pfind -- klicken pfind.bat
nach dem Scan -- C:\pfind.txt -- kopieren/einfügen

-----------------------

INFO:
http://virus-protect.org/Artikel/spyware/Security_Center.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hallo Sabina,

ich hatte noch C:\WINDOWS\SYSTEM32\ntfsnlpa.exe auf der Festplatte und habe eben zum ersten Mal mit Killbox gelöscht. Ansonsten geht es auch, wenn man solche infizierte Dateien aus einem anderem Betriebssystem löscht oder?

Außerdem wininit.ini wird es mit Killbox automatisch erstellt, um dann nach dem Reboot gelöscht zu werden. Was mich wundert ist, daß sich Wininit.ini mit dem Killbox zur Ansicht nicht öffnen läßt, angeblich weil es nicht existiert, obwohl es nicht stimmt. Das ist anscheinend ein Bugg von Killbox?

Außerdem der Vorgang mit dem Editor für fix.reg ist es mir neu. Das ist doch rein eine Textdatei und ich sehe nicht ein, was das bewirkt, wenn man vor dem neuen Boot darauf doppelklickt. Die Datei dürfte sich nur öffnen, um den Text zu zeigen oder heißt es, daß der Inhalt automatisch, in den Registry eingetragen wird, weil die Datei mit *.reg endet? Außerdem geht es auch per Hand im Registry, nicht wahr?

Hallo Gare,

wie bereits privat mitgeteilt ist hier für alle der besprochene Link mit allen Dateien je nach Virus oder Trojaner etc...:

http://www.iamnotageek.com/a/spyware.php

Es sei außerdem zu beachten, daß keine anderen DNS-Adressen inzwischen unbefugt eingetragen worden sind. Sicherheitshalber wäre es noch zu kontrollieren, im TCP/IP unter Eigenschaften vom Netzwerk, unter Verbindung von IE, auch für Modems, und auch ggf. da, wo es von Hjt im Registry aufgespürt wäre.

Gruß von Merlinux

#25 Hallo@Merlinux

eine *reg-Datei wird bei Doppelklicken der registry beigefuegt.(gilt nicht fuer WIN98, wenn ich richtig informiert bin)
natuerlich kann man auch selbst in der Registry rumwerkeln...aber das ist nicht immer so zu empfehlen

was die wininit.ini betrifft--> was ist das fuer eine Datei ?
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Hallo@Sabina

ich habe die Antwort gefunden: http://www.winfaq.de/faq_html/tip0317.htm

Also die Datei Wininit.ini wird vom Killbox automatisch erstellt und benutzt, mit z.B. folgendem Inhalt, den ich noch im wininit.bak finden konnte:

[Rename]
NUL=C:\WINME\SYSTEM\NTFSNLPA.EXE

Ich glaube übrigens, daß Viren oder Trojaner auch gerne diese Datei verwenden, dessen Einträge anhand von Trojan Check 6 Guard oftmals verhindern konnte.

Gruß

#27 hallo sabina, hallo merlinux!

@ merlinux, hab die 2 hclean32 dateien und die ballon.wav gelöscht. fs1.cab dateien hab ich nicht gefunden. hab nach fs1.cab und TR/click.526 dateien gesucht.. nix



@ sabina, hat leider nicht funktioniert! :-/ in der log.txt steht led. der pfad des 'eigene dateien' ordners!? das dos-fenster beim ausführen der rkfiles.bat dabei angezeigt, dass ein bestimmter pfad nicht gefunden wurde, der pfad wurde aber nicht genannt..

vielen dank an euch beide!

gruß gare

hab grad e-scan laufen lassen. das zumindest geht jetzt wieder! hier das ergebnis:

File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-143.dll tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-516.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "myway Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "iSearch Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0DCD2B5B-7950-8C59-6A2A-2F49D1690674}" refers to invalid object "SetupExeDll.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{9EFBF860-5685-11D3-AA3D-00C04F4C5275}" refers to invalid object "cdooff.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
Entry "HKCR\Photoshop.Application" refers to invalid object "{6DECC242-87EF-11cf-86B4-444553540000}". Action Taken: No Action Taken.
Entry "HKCR\Photoshop.Application.7" refers to invalid object "{6DECC242-87EF-11cf-86B4-444553540000}". Action Taken: No Action Taken.
Entry "HKCR\Photoshop.Image" refers to invalid object "{62B1F4A0-A0C5-4122-8ECE-57DF88C97C33}". Action Taken: No Action Taken.
Entry "HKCR\Photoshop.Image.7" refers to invalid object "{62B1F4A0-A0C5-4122-8ECE-57DF88C97C33}". Action Taken: No Action Taken.
File C:\WINDOWS\System32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\WINDOWS\System32\qoyrt.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-143.dll tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Hose Maki\Desktop\Viren- Malware- und Optimierungsprogramme\hijackthis\backups\backup-20050727-205028-516.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP218\A0042145.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP218\A0042147.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP218\A0042202.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP218\A0042204.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP220\A0042248.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP220\A0042250.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP220\A0042297.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP220\A0042299.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP221\A0042376.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP221\A0042378.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0042430.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0042432.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044456.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044458.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044484.DLL tagged as "not-a-virus:AdWare.ToolBar.MyWay.c". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044537.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044539.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044589.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP222\A0044591.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP223\A0044597.dll tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP223\A0044657.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP223\A0044659.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP224\A0044722.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP224\A0044724.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP225\A0044779.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP225\A0044781.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP226\A0044823.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP226\A0044825.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP227\A0044889.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP227\A0044891.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP228\A0044911.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP228\A0044913.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP228\A0046987.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP228\A0046989.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0047088.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0047090.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0047121.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0047123.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0048143.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0048145.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0048174.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0048176.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0049217.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP229\A0049219.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\System Volume Information\_restore{4EC3D2E8-BEF7-4ED3-87CA-A71D031EBE11}\RP230\A0049332.exe infected by "Trojan.Win32.Qhost.qr" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\LastGood\webhdll.dll tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\WINDOWS\LastGood\whInstaller.exe tagged as "not-a-virus:AdWare.WebHancer". Action Taken: No Action Taken.
File C:\WINDOWS\system32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
File C:\WINDOWS\system32\qoyrt.dll tagged as "not-a-virus:AdWare.ToolBar.SBSoft.h". Action Taken: No Action Taken.
File G:\Anwendungen\setupmp3towav.exe tagged as "not-a-virus:AdWare.BargainBuddy.v". Action Taken: No Action Taken.


jetzt seh ich's erst. ach du schande. AVG hat ausserdem grad noch die cszig.exe entdeckt... lg gare

#28 Hallo@gare

Zitat

@ sabina, hat leider nicht funktioniert! :-/ in der log.txt steht led. der pfad des 'eigene dateien' ordners!? das dos-fenster beim ausführen der rkfiles.bat dabei angezeigt, dass ein bestimmter pfad nicht gefunden wurde, der pfad wurde aber nicht genannt..

es funktioniert----du musst nur lange genug warten, bis sich das Fenster schliesst...

Hinweis: wenn du die webhdll.dll im Tool siehst, dann bringe sie mit •LSPfix.exe von links nach rechts und loesche sie .
Wenn sie nicht auftaucht, loesche sie mit der Killbox
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\ntfsnlpa.exe
C:\WINDOWS\LastGood\webhdll.dll
C:\WINDOWS\LastGood\whInstaller.exe
C:\WINDOWS\system32\qoyrt.dll
G:\Anwendungen\setupmp3towav.exe

PC neustarten


Deaktivieren Wiederherstellung (dann aktiviere sie wieder)
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#29 hi sabina, danke für deine hilfe!!
ich hab versucht die von dir angeg. files mit der killbox zu löschen aber er hat da 'ne fehlermeldung gebracht. ich depp hab die leider gleich weggeklickt und kann jetzt nicht sagen was in dieser stand. jedenfalls glaub ich, dass es nicht funktioniert hat, da er beim scannen zumindest die ntfsnlpa.exe nachwievor findet.
hab jedenfalls die beiden logs erstellt. die pfind-log übrigens auch im abgesicherten modus, ich hoffe das war richtig so. du hattest es nicht explizit erwähnt..
ach ja, das mit der sys-wiederherstellung hab ich nicht ganz kapiert. wann ganau soll ich dass machen? hab's, wie du beschrieben hast kurz deaktiviert und gleich drauf wieder aktiviert..!? hier jedenfalls die beiden logs:

rkfiles.bat:

C:\Dokumente und Einstellungen\Hose Maki\Desktop\rkfiles

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\ntfsnlpa.exe: UPX!
C:\WINDOWS\system32\gpsresl32.exe: FSG!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\ntfsnlpa.exe: UPX!
C:\WINDOWS\system32\gpsresl32.exe: FSG!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\RMAgentOutput.dll: UPX!
C:\WINDOWS\tsc.exe: UPX!
C:\WINDOWS\vsapi32.dll: UPX!t4
Finished
bye


pfind.bat:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 20.08.2005 18:53:02 1042 C:\log.txt
FSG! 20.08.2005 18:53:02 1042 C:\log.txt
PEC2 20.08.2005 18:53:02 1042 C:\log.txt
UPX! 20.08.2005 18:51:24 81 C:\start.txt
FSG! 20.08.2005 18:51:24 81 C:\start.txt
UPX! 20.08.2005 18:51:38 369 C:\win.txt
FSG! 20.08.2005 18:51:38 369 C:\win.txt
PEC2 20.08.2005 18:51:38 369 C:\win.txt
UPX! 20.08.2005 18:52:40 94 C:\windows.txt

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
PECompact2 09.08.2005 13:33:36 15603971 C:\WINDOWS\lpt$vpn.769
qoologic 09.08.2005 13:33:36 15603971 C:\WINDOWS\lpt$vpn.769
SAHAgent 09.08.2005 13:33:36 15603971 C:\WINDOWS\lpt$vpn.769
UPX! 03.05.2005 11:44:44 25157 C:\WINDOWS\RMAgentOutput.dll
UPX! 28.07.2005 16:08:18 170053 C:\WINDOWS\tsc.exe
PECompact2 09.08.2005 13:33:36 15603971 C:\WINDOWS\VPTNFILE.769
qoologic 09.08.2005 13:33:36 15603971 C:\WINDOWS\VPTNFILE.769
SAHAgent 09.08.2005 13:33:36 15603971 C:\WINDOWS\VPTNFILE.769
UPX! 28.07.2005 16:29:44 1044560 C:\WINDOWS\vsapi32.dll
aspack 28.07.2005 16:29:44 1044560 C:\WINDOWS\vsapi32.dll

Checking %System% folder...
aspack 18.03.2005 17:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
PEC2 23.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 03.09.2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 03.09.2004 20:03:48 716800 C:\WINDOWS\SYSTEM32\DivX.dll
FSG! 19.07.2005 13:55:50 705 C:\WINDOWS\SYSTEM32\gpsresl32.exe
UPX! 09.08.2005 20:35:04 45568 C:\WINDOWS\SYSTEM32\ntfsnlpa.exe
Umonitor 23.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 23.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
UPX! 23.07.2005 18:54:02 668704 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
FSG! 23.07.2005 18:54:02 668704 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
aspack 23.07.2005 18:54:02 668704 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
S 20.08.2005 18:45:18 2048 C:\WINDOWS\bootstat.dat
H 20.08.2005 05:29:36 54156 C:\WINDOWS\QTFont.qfn
SH 28.07.2005 16:13:58 40960 C:\WINDOWS\Thumbs.db
H 23.06.2005 16:55:26 0 C:\WINDOWS\LastGood\INF\oem5.inf
H 23.06.2005 16:55:26 0 C:\WINDOWS\LastGood\INF\oem5.PNF
SH 28.07.2005 16:15:26 16896 C:\WINDOWS\system32\Thumbs.db
H 20.08.2005 18:43:00 889 C:\WINDOWS\system32\vsconfig.xml
H 28.06.2005 14:16:00 4212 C:\WINDOWS\system32\zllictbl.dat
H 20.08.2005 18:45:14 8192 C:\WINDOWS\system32\config\DEFAULT.LOG
H 20.08.2005 18:45:24 1024 C:\WINDOWS\system32\config\SAM.LOG
H 20.08.2005 18:45:18 8192 C:\WINDOWS\system32\config\SECURITY.LOG
H 20.08.2005 18:46:20 77824 C:\WINDOWS\system32\config\SOFTWARE.LOG
H 20.08.2005 18:43:38 1024 C:\WINDOWS\system32\config\SYSTEM.LOG
H 20.08.2005 18:43:38 6 C:\WINDOWS\Tasks\SA.DAT
SH 29.06.2005 23:05:04 77312 C:\WINDOWS\Web\Wallpaper\Thumbs.db

Checking for CPL files...
Microsoft Corporation 23.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 23.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Creative Technology Ltd. 28.05.2001 14:47:00 32768 C:\WINDOWS\SYSTEM32\AudioHQU.cpl
Microsoft Corporation 23.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 23.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 23.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 23.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 23.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 23.09.2004 18:57:40 323072 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 23.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 23.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 23.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 23.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 23.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 23.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 23.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 23.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 23.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 23.08.2001 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 23.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 23.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 30.09.2004 18:17:14 135168 C:\WINDOWS\SYSTEM32\ReinstallBackups\0001\DriverFiles\DIRECTX.CPL

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
25.07.2005 22:22:24 1000 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
20.04.2005 19:23:48 1714 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...
08.08.2005 18:48:34 19560 C:\Dokumente und Einstellungen\Hose Maki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
23.12.2004 04:43:14 4713 C:\Dokumente und Einstellungen\Hose Maki\Anwendungsdaten\wo.tmp

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "F:\ANWENDUNGEN\Tune Up - Reg-Cleaner\sdshelex.dll"
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\ANWENDUNGEN\Win Rar 3.4\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\ANWENDUNGEN\Win Rar 3.4\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "F:\ANWENDUNGEN\Tune Up - Reg-Cleaner\sdshelex.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\ANWENDUNGEN\Win Rar 3.4\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{08BEC6AA-49FC-4379-3587-4B21E286C19E} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTHelper CTHELPER.EXE
SBDrvDet C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
UpdReg C:\WINDOWS\UpdReg.EXE
CTSysVol C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
CTDVDDET C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
AtiPTA C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
AVG7_EMC C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
dmeyz.exe C:\WINDOWS\System32\dmeyz.exe
dmjsd.exe C:\WINDOWS\System32\dmjsd.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
RemoteCenter C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
Creative Detector C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
TuneUp MemOptimizer "F:\ANWENDUNGEN\Tune Up - Reg-Cleaner\MemOptimizer.exe" autostart
SpybotSD TeaTimer F:\ANWENDUNGEN\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 1
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145
ClearRecentDocsOnExit 1
NoBandCustomize 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.3.0 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 20.08.2005 18:57:41


vielen dank nochmal vorab!!!

gruss gare

#30 Falls es das gibt:

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
loesche:
WareOut "DisplayName" = "WareOut"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
loesche:
WareOut "UninstallString" = "uninstall.exe

----------------------------------------------------------------------------------------

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Loesche :

C:\WINDOWS\LastGood\whInstaller.exe
C:\WINDOWS\system32\qoyrt.dll
G:\Anwendungen\setupmp3towav.exe

C:\WINDOWS\VPTNFILE.769
C:\WINDOWS\lpt$vpn.769

C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\gpsresl32.exe
C:\WINDOWS\system32\rdsndin.exe

C:\WINDOWS\System32\dmeyz.exe
C:\WINDOWS\System32\dmjsd.exe

C:\Dokumente und Einstellungen\Hose Maki\Anwendungsdaten\wo.tmp

falls es vorhanden ist:
C:\Programme\WareOut
----------------------------------------------------------------
FindT.zip
Download FindT.zip to root (C:\ )
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip

in C:\ entpacken -- öffne "Find T" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

Lade:Find_It__s.zip-->klicke FindIt's.bat--> wenn der Editor sich oeffnet, kopiere den RText ab und poste ihn
http://bilder.informationsarchiv.net/Nikitas_Tools/Find_It__s.zip

bitte abarbeiten und alles posten:
http://virus-protect.org/datfindbat.html

--------------------------------------------------------------------------
INFO. (ist fuer mich)

C:\WINDOWS\SYSTEM\rdsndin.exe AdWare.FindSpy
C:\WINDOWS\SYSTEM\ntfsnlpa.exe AdWare.Msnagent.b.
C:\WINDOWS\system32\gpsresl32.exe Trojan horse Dialer.18.C

Zitat

spyware/wareout
C:\Dokumente und Einstellungen\Hose Maki\Anwendungsdaten\wo.tmp
* uninstall.exe (33,155 bytes)
* WareOut.exe (403,456 bytes)
* wareout.ico (4,286 bytes)
* WareOutUpdate.exe (416,256 bytes)
* warez.dat (10,381 bytes)wocount.exe (6,176 bytes)
* wover.dat (8 bytes)
* wotmp11.tmp (0 byte)
* sprmover.exe (3,201 bytes)
* woinst.exe (648,357 bytes)
* wosys32.dll (9,216 bytes)

__________
MfG Sabina

rund um die PC-Sicherheit