virus (trojaner?) per msn messenger,werd ihn net los

#0
17.09.2006, 12:56
...neu hier

Beiträge: 8
#61 Hallo.
Hab cleanup durchlaufen lassen.

system32.txt:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\WINDOWS\system32

17.09.2006 12:28 2.206 wpa.dbl
17.09.2006 11:57 57.567 ikhcore.log
14.09.2006 16:46 2.953 CONFIG.NT
11.09.2006 19:37 8.960.936 MRT.exe
09.09.2006 12:24 375.740 perfh009.dat
09.09.2006 12:24 51.538 perfc009.dat
09.09.2006 12:24 386.302 perfh007.dat
09.09.2006 12:24 62.364 perfc007.dat
09.09.2006 12:24 884.200 PerfStringBackup.INI
09.09.2006 12:22 219.248 FNTCACHE.DAT
29.05.2006 17:30 1.494.016 shdocvw(2)(2)(2)(2).dll

temp.txt:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\DOKUME~1\STORM\LOKALE~1\Temp

17.09.2006 12:29 16.384 Perflib_Perfdata_4fc.dat
12.09.2006 19:08 127 DFC5A2B2.TMP
2 Datei(en) 16.511 Bytes
0 Verzeichnis(se), 4.425.428.992 Bytes frei

windows.txt:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\WINDOWS

17.09.2006 12:11 1.464.766 WindowsUpdate.log
17.09.2006 11:59 4.638 ModemLog_Intel(R) 537AA Modem.txt
17.09.2006 11:58 441 wiadebug.log
17.09.2006 11:58 50 wiaservc.log
17.09.2006 11:58 0 0.log
17.09.2006 11:58 2.048 bootstat.dat
14.09.2006 19:27 32.622 SchedLgU.Txt
14.09.2006 17:54 123.630 pxinstall_log.txt
14.09.2006 16:50 146.967 iis6.log
14.09.2006 16:50 319.522 comsetup.log
14.09.2006 16:50 195.330 ntdtcsetup.log
14.09.2006 16:50 377.926 tsoc.log
14.09.2006 16:50 1.374 imsins.log
14.09.2006 16:50 46.083 ocmsn.log
14.09.2006 16:50 28.045 KB920685.log
14.09.2006 16:50 503.812 ocgen.log
14.09.2006 16:50 48.606 msgsocm.log
14.09.2006 16:50 957.758 FaxSetup.log
14.09.2006 16:50 187.526 setupapi.log
14.09.2006 16:49 1.374 imsins.BAK
14.09.2006 16:49 29.742 KB920872.log
14.09.2006 16:48 20.064 KB919007.log
14.09.2006 16:47 7.858 KB922582.log
14.09.2006 16:46 39.941 updspapi.log
13.09.2006 17:39 1.132.628 ntbtlog.txt
13.09.2006 16:58 998 win.tmp
13.09.2006 16:58 998 win.ini
13.09.2006 16:58 256 system.tmp
13.09.2006 16:58 256 SYSTEM.INI
12.09.2006 21:05 219.787 setupact.log
07.09.2006 19:05 0 keyboard1.dat
25.08.2006 10:10 54.156 QTFont.qfn
20.06.2006 17:33 92.740 spupdsvc.log
20.06.2006 16:54 12.736 KB917734.log
20.06.2006 16:52 15.656 KB918439.log
20.06.2006 16:52 16.339 KB917344.log
20.06.2006 16:51 15.373 KB917953.log
20.06.2006 16:51 18.904 KB916281.log
20.06.2006 16:50 11.457 KB914389.log

c.txt:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\

17.09.2006 12:49 0 sys.txt
17.09.2006 12:49 4.092 windows.txt
17.09.2006 12:49 15.550 system.txt
17.09.2006 12:49 346 temp.txt
17.09.2006 12:48 346 systemtemp.txt
17.09.2006 12:48 2.628 system32.txt
17.09.2006 12:46 7.817 files.txt
17.09.2006 11:58 805.306.368 pagefile.sys
13.09.2006 16:58 211 boot.ini
30.08.2006 20:41 521 hpfr3420.xml
30.08.2006 20:40 77.397 hpfr3425.log
10.08.2006 19:43 244 sqmnoopt02.sqm
10.08.2006 19:43 232 sqmdata02.sqm
10.08.2006 19:42 244 sqmnoopt01.sqm
10.08.2006 19:42 232 sqmdata01.sqm
10.08.2006 19:42 244 sqmnoopt00.sqm
10.08.2006 19:42 232 sqmdata00.sqm
10.08.2006 19:42 244 sqmnoopt19.sqm
10.08.2006 19:42 232 sqmdata19.sqm
10.08.2006 19:42 232 sqmdata18.sqm
10.08.2006 19:42 244 sqmnoopt18.sqm
10.08.2006 19:42 232 sqmdata17.sqm
10.08.2006 19:42 244 sqmnoopt17.sqm
10.08.2006 19:42 244 sqmnoopt16.sqm
10.08.2006 19:42 232 sqmdata16.sqm
10.08.2006 19:42 232 sqmdata15.sqm
10.08.2006 19:42 244 sqmnoopt15.sqm
10.08.2006 19:42 232 sqmdata14.sqm
10.08.2006 19:42 244 sqmnoopt14.sqm
10.08.2006 19:41 244 sqmnoopt13.sqm
10.08.2006 19:41 232 sqmdata13.sqm
10.08.2006 19:41 232 sqmdata12.sqm
10.08.2006 19:41 244 sqmnoopt12.sqm
10.08.2006 19:41 244 sqmnoopt11.sqm
10.08.2006 19:41 232 sqmdata11.sqm
10.08.2006 19:41 232 sqmdata10.sqm
10.08.2006 19:41 244 sqmnoopt10.sqm
10.08.2006 19:40 232 sqmdata09.sqm
10.08.2006 19:40 244 sqmnoopt09.sqm
10.08.2006 19:40 232 sqmdata08.sqm
10.08.2006 19:40 244 sqmnoopt08.sqm
10.08.2006 19:40 244 sqmnoopt07.sqm
10.08.2006 19:40 232 sqmdata07.sqm
10.08.2006 19:40 232 sqmdata06.sqm
10.08.2006 19:40 244 sqmnoopt06.sqm
10.08.2006 19:39 232 sqmdata05.sqm
10.08.2006 19:39 244 sqmnoopt05.sqm
10.08.2006 19:39 232 sqmdata04.sqm
10.08.2006 19:39 244 sqmnoopt04.sqm
10.08.2006 19:39 232 sqmdata03.sqm
10.08.2006 19:39 244 sqmnoopt03.sqm


Datei listen.bat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\Dokumente und Einstellungen\STORM

14.09.2006 17:55 <DIR> .
14.09.2006 17:55 <DIR> ..
16.09.2004 17:40 <DIR> Application Data
27.07.2006 16:35 <DIR> Contacts
17.09.2006 12:40 <DIR> Desktop
20.06.2006 16:55 <DIR> Eigene Dateien
19.12.2005 16:00 <DIR> Favoriten
27.08.2005 16:29 100 LuResult.txt
01.03.2006 17:51 <DIR> Nokia Phone Browser
17.09.2006 12:28 6.815.744 ntuser.dat
01.04.2003 20:24 192 PwrMng.cfg
18.03.2006 03:55 <DIR> Startmen
23.03.2003 00:43 <DIR> WINDOWS
01.11.2004 18:27 177.037 ~
4 Datei(en) 6.993.073 Bytes
10 Verzeichnis(se), 4.425.342.976 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\Programme\Gemeinsame Dateien\{549421AE-0A27-1031-0404-020320030031}

12.09.2006 18:11 <DIR> .
12.09.2006 18:11 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.425.342.976 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.10.2004 19:14 197.760 avsniff.dll
26.10.2004 19:11 626 avsniff.inf
26.10.2004 19:11 241 CabSA.inf
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
09.02.2005 15:54 1.271 erma.inf
16.06.2004 17:03 355.955 ICQVideoControl.dll
08.06.2004 12:26 268 ICQVideoControl.inf
25.07.2002 18:05 172.032 isusweb.dll
29.01.2004 16:02 409 ITDetector.inf
03.02.2004 11:26 49.152 ITDetector.ocx
26.08.2005 15:57 495 LegitCheckControl.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
30.06.2005 16:19 227 MsnMessengerSetupDownloader.inf
14.08.2005 01:26 113.664 MsnMessengerSetupDownloader.ocx
26.10.2004 19:10 6.854 navapi.vxd
26.10.2004 19:10 208.896 navapi32.dll
08.12.2004 02:00 124.072 naveng32.dll
08.12.2004 02:00 685.224 navex32a.dll
19.12.2003 15:43 241 popcaploader.inf
26.10.2004 19:14 160.928 rufsi.dll
08.12.2004 02:00 86.592 scrauth.dat
08.12.2003 14:58 3.759 swflash.inf
08.12.2004 02:00 8.137 symaveng.cat
08.12.2004 02:00 900 symaveng.inf
08.12.2004 02:00 7.256 tcdefs.dat
08.12.2004 02:00 383.258 tcscan7.dat
08.12.2004 02:00 63.702 tcscan8.dat
08.12.2004 02:00 224.907 tcscan9.dat
08.12.2004 02:00 453 tinf.dat
08.12.2004 02:00 148 tinfidx.dat
08.12.2004 02:00 1.957 tinfl.dat
08.12.2004 02:00 37.662 tscan1.dat
08.12.2004 02:00 1.179 tscan1hd.dat
08.12.2004 02:00 5.382 v.grd
08.12.2004 02:00 2.225 v.sig
08.12.2004 02:00 106.244 virscan.inf
08.12.2004 02:00 899.152 virscan1.dat
08.12.2004 02:00 527.577 virscan2.dat
08.12.2004 02:00 144.524 virscan3.dat
08.12.2004 02:00 316.532 virscan4.dat
08.12.2004 02:00 75.735 virscan5.dat
08.12.2004 02:00 380.360 virscan6.dat
08.12.2004 02:00 1.621.347 virscan7.dat
08.12.2004 02:00 1.200.474 virscan8.dat
08.12.2004 02:00 1.799.563 virscan9.dat
08.12.2004 02:00 32 virscant.dat
10.03.2006 11:51 590 w32view.inf
24.03.2004 18:17 1.777 xscan.inf
24.03.2004 18:22 435.712 xscan53.ocx
08.12.2004 02:00 224 zdone.dat
52 Datei(en) 10.638.718 Bytes
0 Verzeichnis(se), 4.425.338.880 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 5494-21AE



Danke für deine Hilfe!
Seitenanfang Seitenende
17.09.2006, 14:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#62 solny

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\keyboard1.dat
C:\Dokumente und Einstellungen\STORM\Xinstall.exe

Folders to delete:
C:\Programme\Gemeinsame Dateien\{549421AE-0A27-1031-0404-020320030031}
Klicke die gruene AmpeL
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [explorer] C:\Dokumente und Einstellungen\STORM\Xinstall.exe
PC neustarten

3.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

4.
scanne noch mal mit ewido (hast du ja schon geladen und poste den report)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.09.2006, 15:56
...neu hier

Beiträge: 8
#63 Hab alles ausgeführt.

Hier der Ewido scan bericht:

ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 15:53:44 17.09.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\STORM\Cookies\storm@adtech[2].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\STORM\Cookies\storm@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.


::Berichtende
Seitenanfang Seitenende
18.09.2006, 21:01
...neu hier

Beiträge: 3
#64 ich habe auch den trojaner übern messenger bekommen. könnt ihr mir helfen das problem zu beseitigen? ich habe leider nicht so viel ahnung vom pc, danke gruss maria
Seitenanfang Seitenende
19.09.2006, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#65 Putgebühl

kopiere hier alle Logs, die du in diesem Link findest
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2006, 12:40
...neu hier

Beiträge: 10
#66 Hi habe wieder eine trojaner meldung bekommen.. hier mal der hijackthis scan

Logfile of HijackThis v1.99.1
Scan saved at 12:38:22, on 24.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\Fmctrl.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE
C:\Programme\Lexmark 5200 series\lxbtbmgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lexmark 5200 series\lxbtbmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\PROGRA~1\JavaSoft\JRE1.4\14268D~1.2\bin\javaw.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Jabo\Desktop\nicht verwendete desktopelemente\HijackThis(2).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe
O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB002" /M "Stylus D68"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: Reboot.exe
O4 - Startup: uboot joe autostart check.LNK = C:\Programme\uboot joe\ubootjoeautostartcheck.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbtcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
24.09.2006, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#67 Jabo
du hast immer noch keine Windowsupdates gemacht ;)
so wirst du hier Dauergast.
dann poste bitte den scanreport von deinem Antivirus, damit ich weiss, worum es sich handelt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2006, 12:50
...neu hier

Beiträge: 10
#68 ja wenn ich updates mache kommt eine meldung das ich keine offizielle version besitze und evtl. opfer eines raubkopierers geworden bin...



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 24. September 2006 12:00

Es wird nach 508715 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: SYSTEM
Computername: BANANENK-H3SWUV

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 14.09.2006 17:41:14
AVSCAN.DLL : 7.0.0.45 41000 14.09.2006 17:41:14
LUKE.DLL : 7.0.0.47 118824 14.09.2006 17:41:16
LUKERES.DLL : 7.0.0.47 9256 14.09.2006 17:41:17
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 21:46:23
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 17:41:18
ANTIVIR2.VDF : 6.36.0.55 202240 21.09.2006 18:14:28
ANTIVIR3.VDF : 6.36.0.65 24576 23.09.2006 18:52:02
AVEWIN32.DLL : 7.2.0.18 1839616 22.09.2006 17:36:06
AVPREF.DLL : 7.0.0.2 23080 14.09.2006 17:41:14
AVREP.DLL : 6.36.0.5 806952 14.09.2006 17:41:18
AVRPBASE.DLL : 7.0.0.0 2162728 04.05.2006 18:13:25
AVPACK32.DLL : 7.2.0.0 368680 14.09.2006 17:41:18
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 14.09.2006 17:41:17
RCIMAGE.DLL : 7.0.0.74 1642536 14.09.2006 17:41:06
RCTEXT.DLL : 7.0.0.107 77864 14.09.2006 17:41:06

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 24. September 2006 12:00


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 48 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Im Laufwerk 'D:\' ist kein Datenträger eingelegt!
Bootsektor 'E:\'
[HINWEIS] Im Laufwerk 'E:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 28 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Anwendungsdaten\Mozilla\Firefox\Profiles\z1lwwzuu.default\parent.lock
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\djjabo_ms@hotmail.com\SharingMetadata\pending.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\djjabo_ms@hotmail.com\SharingMetadata\Working\
database_E6E8_3932_E839_27B\dfsr.db
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\djjabo_ms@hotmail.com\SharingMetadata\Working\
database_E6E8_3932_E839_27B\fsr.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\djjabo_ms@hotmail.com\SharingMetadata\
Working\database_E6E8_3932_E839_27B\fsrtmp.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\djjabo_ms@hotmail.com\SharingMetadata\
Working\database_E6E8_3932_E839_27B\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Temp\~DF5219.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Temp\~DF5360.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Temp\~DF776B.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jabo\Lokale Einstellungen\Temp\hsperfdata_Jabo\2040
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Gemeinsame Dateien\MGI Shared\Photo\PS4CatalogListbox.dll
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP87\A0047552.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP88\A0047635.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP88\A0047642.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP88\A0047655.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45465f04.qua' verschoben!
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP89\A0048633.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45465f08.qua' verschoben!
C:\System Volume Information\_restore{15438D32-AAC9-4916-9695-13AB171AD276}\RP91\A0051904.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Banload.bia
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45465f14.qua' verschoben!
C:\WINDOWS\SoftwareDistribution\EventCache\{9ABF17FD-474D-41CA-993D-6696AC0AEE8B}.bin
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 24. September 2006 12:43
Benötigte Zeit: 43:13 min

Der Suchlauf wurde abgebrochen!

4331 Verzeichnisse wurden überprüft
220962 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2143 Archive wurden durchsucht
35 Warnungen
0 Hinweise
Seitenanfang Seitenende
24.09.2006, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#69 Jabo

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann neustarten und wieder aktivieren (Haekchen setzen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2006, 13:10
...neu hier

Beiträge: 10
#70 ............................ok durchgeführt...und jetzt?
Dieser Beitrag wurde am 24.09.2006 um 14:06 Uhr von Jabo editiert.
Seitenanfang Seitenende
24.09.2006, 14:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#71 nix mehr, es ist wieder o.k.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.09.2006, 19:20
...neu hier

Beiträge: 3
#72 Logfile of HijackThis v1.99.1
Scan saved at 19:16:11, on 30.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe
C:\PROGRA~1\Hardware\Mouse\Amoumain.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Gemeinsame Dateien\{4C67D132-0385-1031-0920-000907000031}\Update.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\admin\LOKALE~1\Temp\Rar$EX00.854\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Hardware\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Zone Labs Security (2).lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} - http://www.seagate.com/support/disc/asp/tools/de/bin/npseatools.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe






admin - 06-09-30 19:35:44,98 Service Pack 1
ComboFix 06.09.25 - Running from: "C:\Programme\Mozilla Firefox"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\admin\Xinstall.exe
C:\Programme\Gemeinsame Dateien\{4C67D132-0386-1031-0920-000907000031}
C:\Programme\Gemeinsame Dateien\{4C67D132-0385-1031-0920-000907000031}


((((((((((((((((((((((((((((((( Files Created from 2006-08-30 to 2006-09-30 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-12 19:51 -------- d-------- C:\Programme\Sunbelt Software


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iKeyWorks"="C:\\PROGRA~1\\Hardware\\Keyboard\\Ikeymain.exe"
"WheelMouse"="C:\\PROGRA~1\\Hardware\\Mouse\\Amoumain.exe"
"AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"SunServer"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,b0,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{076394AD-7FDD-44EF-A075-32C68DBAB99B}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:ff,00,00,00

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^Zone Labs Security (2).lnk]
"path"="C:\\Dokumente und Einstellungen\\admin\\Startmenü\\Programme\\Autostart\\Zone Labs Security (2).lnk"
"backup"="C:\\WINDOWS\\pss\\Zone Labs Security (2).lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\ZONELA~1\\ZONEAL~1\\zlclient.exe "
"item"="Zone Labs Security (2)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^SDSScheduler.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\SDSScheduler.lnk"
"backup"="C:\\WINDOWS\\pss\\SDSScheduler.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\SIEMEN~1\\SDS\\SDSSCH~1.EXE "
"item"="SDSScheduler"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Gtwatch"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\Gtwatch.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Ad-Aware]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AD-AWARE"
"hkey"="HKLM"
"command"="\"C:\\PROGRA~1\\LAVASOFT\\AD-AWA~1\\AD-AWARE.EXE\" +c"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AWMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Ad-Watch"
"hkey"="HKLM"
"command"="\"C:\\PROGRA~1\\LAVASOFT\\AD-AWA~1\\Ad-Watch.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CMESys]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CMESys"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Easy-PrintToolBox]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BJPSMAIN"
"hkey"="HKLM"
"command"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Gtwatch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="gtwatch"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\gtwatch.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IndexSearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IndexSearch"
"hkey"="HKLM"
"command"="C:\\Programme\\Scansoft\\PaperPort\\IndexSearch.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mRouterConfig for Siemens Data Suite SX1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mRouterConfig"
"hkey"="HKLM"
"command"="C:\\Programme\\Intuwave\\Shared\\mRouterRunTime\\mRouterConfig.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NetPumper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NetPumperIEProxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NetPumper\\NetPumperIEProxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PaperPort PTD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pptd40nt"
"hkey"="HKLM"
"command"="C:\\Programme\\Scansoft\\PaperPort\\pptd40nt.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\S7UB Start]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="s7ubtstx"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Siemens\\S7ubtoox\\s7ubtstx.exe\" -StartDB"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 30.09.2006 19:40:12.35
ComboFix.txt





Datentr„ger in Laufwerk C: ist F
Volumeseriennummer: 4C67-D132

Verzeichnis von C:\WINDOWS\system32

30.09.2006 19:43 335 vsconfig.xml
30.09.2006 18:44 2.206 wpa.dbl
10.06.2006 15:40 3.534 jupdate-1.5.0_03-b07.log
26.03.2006 13:40 159.544 FNTCACHE.DAT
23.03.2006 19:25 8 ntP2.trk
24.01.2006 19:34 118.784 sirenacm.dll
28.12.2005 16:46 40.960 RegOgg.exe
27.12.2005 19:15 43.008 GVorbisDec.dll
27.12.2005 19:15 106.496 libfishsound.dll
27.12.2005 19:15 20.480 libOOOggSeek.dll
27.12.2005 19:15 47.616 libOOOgg.dll
27.12.2005 19:15 237.568 GOggPlay.dll
27.12.2005 19:15 110.592 GOggDem.dll
18.12.2005 20:52 176.167 rmoc3260.dll
18.12.2005 20:52 5.632 pndx5032.dll
18.12.2005 20:52 6.656 pndx5016.dll
20.10.2005 15:37 24.924 openports.dll


Datentr„ger in Laufwerk C: ist F
Volumeseriennummer: 4C67-D132

Verzeichnis von C:\DOKUME~1\admin\LOKALE~1\Temp

30.09.2006 19:41 49.152 ~DF3C09.tmp
30.09.2006 19:40 206 jusched.log
30.09.2006 19:39 32.768 ~DF8704.tmp
30.09.2006 19:38 16.384 ~DF4DE9.tmp
4 Datei(en) 98.510 Bytes
0 Verzeichnis(se), 2.587.983.872 Bytes frei






Datentr„ger in Laufwerk C: ist F
Volumeseriennummer: 4C67-D132

Verzeichnis von C:\WINDOWS

30.09.2006 19:38 0 0.log
30.09.2006 19:38 159 wiadebug.log
30.09.2006 19:38 2.048 bootstat.dat
30.09.2006 19:19 32.556 SchedLgU.Txt
30.09.2006 19:19 50 wiaservc.log
22.09.2006 19:41 186.082 setupapi.log
10.09.2006 21:46 1.125 winamp.ini
09.09.2006 18:08 54.156 QTFont.qfn
09.09.2006 18:08 1.409 QTFont.for
05.09.2006 18:12 157 cdplayer.ini
26.03.2006 16:44 197 wmsetup.log
23.03.2006 20:18 9.553 KB893803v2.log
23.03.2006 20:18 87.503 comsetup.log
23.03.2006 20:18 10.249 tabletoc.log
23.03.2006 20:18 112.261 tsoc.log
23.03.2006 20:18 53.483 ntdtcsetup.log
23.03.2006 20:18 297.551 iis6.log
23.03.2006 20:18 1.374 imsins.log
23.03.2006 20:17 8.858 ocmsn.log
23.03.2006 20:17 221.651 FaxSetup.log
23.03.2006 20:17 37.835 netfxocm.log
23.03.2006 20:17 11.810 msgsocm.log
23.03.2006 20:17 132.597 ocgen.log
23.03.2006 20:17 78.898 msmqinst.log
23.03.2006 20:15 2.186.527 setupapi.log.0.old
12.02.2006 18:11 1.277 win.ini
12.02.2006 18:11 227 system.ini





Datentr„ger in Laufwerk C: ist F
Volumeseriennummer: 4C67-D132

Verzeichnis von C:\

30.09.2006 19:49 0 sys.txt
30.09.2006 19:49 9.362 system.txt
30.09.2006 19:48 427 systemtemp.txt
30.09.2006 19:46 115.172 system32.txt
30.09.2006 19:40 11.235 ComboFix.txt
30.09.2006 19:38 133.795.840 hiberfil.sys
30.09.2006 19:38 201.326.592 pagefile.sys
28.07.2006 21:58 16 UsageTrack.txt
12.02.2006 18:11 194 boot.ini
31.10.2005 17:56 700.416 StubInstaller.exe
25.03.2005 15:10 27.738 SDSSetup.log
Dieser Beitrag wurde am 25.09.2006 um 19:53 Uhr von Putgebühl editiert.
Seitenanfang Seitenende
25.09.2006, 23:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#73 Putgebühl

scanne mit ewido und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.09.2006, 20:23
...neu hier

Beiträge: 3
#74 ---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 20:14:06 04.10.2006

+ Scan-Ergebnis:



C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP412\A0176170.exe -> Adware.Agent : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP414\A0176243.exe -> Adware.Agent : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP414\A0176247.exe -> Adware.Agent : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\EE39426E-61C6-4E99-9B47-B1A691\B5BE1491-F21E-4FE8-A524-F59E13 -> Adware.Softomate : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\EE39426E-61C6-4E99-9B47-B1A691\F17EA7DC-E72B-4570-9330-D6DB4B -> Adware.Softomate : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP411\A0176151.exe -> Downloader.Adload.ds : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP412\A0176169.exe -> Downloader.Adload.ds : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP414\A0176242.exe -> Heuristic.Win32.Morphine-Crypted : Ignoriert.
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Sunbelt Software\CounterSpy\Quarantine\65FE3163-882A-4CDC-ADC8-CB1B78\5F3763F5-0A39-45E6-B1C7-7B65CE -> Not-A-Virus.PSWTool.Win32.MailPassView : Ignoriert.
:mozilla.107:C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmwec6p.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\8dmwec6p.default\cookies.txt.old -> TrackingCookie.2o7 : Gesäubert.

C:\Programme\MSN Messenger\msnmsgr.exe -> Worm.Braban.i : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP413\A0176181.PIF -> Worm.Braban.i : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{D04E9FF0-554E-42EE-834D-BEFF38DE43A3}\RP413\A0176182.PIF -> Worm.Braban.i : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende
Seitenanfang Seitenende
29.09.2006, 23:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#75 Putgebühl

es muesste alles wieder o.k. sein ;)
starte den messi, dann wird er sich automatisch neuinstallieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: