winfixer 2005 problem

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.10.2005, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#136 die_Bohne

es hat sich alles ein wenig ueberschnitten, aber genau die Dateien solltest du schon mit der Killbox geloescht haben....

c:\windows\offnm.ini
c:\windows\uid32.key
c:\windows\woc.ver

die hatte ich nicht fuer boese erachtet...nun ja, bin ja auch kein Virenscanner ;)

10.03.2004 07:07 194 ISSM0064.DAT (die Hijacker faelschen das Datum...grrrrr)

c:\windows\issm0064.dat
c:\windows\003308_.tmp

also: auch loeschen.

Zitat

dann scanne noch mal mit dem Reg-Tool und berichte, ob die Registryeintraege vom Dienst (Virendienst) geloescht sind)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OvMon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Overlay Components
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_OVERLAY_COMPONENTS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Overlay Components

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC
wenn das erledigt ist: scanne mit panda:
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 10:33
...neu hier

Beiträge: 3
#137 Erstmal Hallo an alle ... bin neu hier :-)

Habe auch mal mit dem Hijacker gescannt und das ist das resultat...habe auch mit diesem AdAware SE Personal gescannt aber ich kriege diese Schei... Popups nicht weg... Hüüülfe :-)

Logfile of HijackThis v1.99.1
Scan saved at 10:29:19, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Profiler\lwemon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Steam\Steam.exe
C:\Programme\ICQ2005\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A0883366-123E-28F7-31EB-85DAB7829AA6} - C:\DOKUME~1\Benny\ANWEND~1\BIRDEN~1\Vgaopen.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AMEN TEAM KIND STOP] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\two bin amen team\fast 16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ActiveCoal] C:\DOKUME~1\Benny\ANWEND~1\EQTONS~1\Onlineblue.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ2005\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ2005\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ2005\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A9A1FBC-3563-4FC0-A8AC-D6D7C9215ECB}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{73B14028-4676-439F-B49F-C8BEDA6E4167}: NameServer = 172.16.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A9A1FBC-3563-4FC0-A8AC-D6D7C9215ECB}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
Seitenanfang Seitenende
30.10.2005, 11:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#138 Hallo@Kurtel

das sind die Ueberreste von:W32/Alcra-B
http://virus-protect.org/artikel/spyware/alcrab.html

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

C:\WINDOWS\system32\f3pssavr.scr
C:\StubInstaller.exe
C:\winupd.bat
C:\WINDOWS\system32\ide21201.vxd
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\bszip.dll

pc neustarten

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

Zitat

Service load:
0% 100%
File: winupd.bat
ArcaVir
Found Trojan.Bat.Zapchast

dann scanne mit kaspersky
und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 12:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#139 Hallo@Foxi7881

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {A0883366-123E-28F7-31EB-85DAB7829AA6} - C:\DOKUME~1\Benny\ANWEND~1\BIRDEN~1\Vgaopen.exe
O4 - HKLM\..\Run: [AMEN TEAM KIND STOP] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\two bin amen team\fast 16.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ActiveCoal] C:\DOKUME~1\Benny\ANWEND~1\EQTONS~1\Onlineblue.exe

PC neustarten

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

loeschen :
C:\Dokumente und Einstellungen\Benny\Anwendungsdaten\EQTONS.....
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\two bin amen team
C:\Dokumente und Einstellungen\Benny\Anwendungsdaten\BIRDEN...

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

scanne mit escan
und loesche laut Anweisungen auf der Seite den Rest der LOP-Verseuchung .
http://virus-protect.org/escan.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 12:29
Member

Beiträge: 39
#140 hi sabina,
hier nun der scan von panda:

Incident Status Location

Virus:Trj/Downloader.DWM Disinfected Persnliche Ordner\Posteingang\Otto.de Ihre Bestellung vom 14.07.2005 451,34 Euro\Rechnung.pdf.exe
Virus:Trj/Downloader.DWM Disinfected Persnliche Ordner\Gesendete Objekte\WG: Otto.de Ihre Bestellung vom 14.07.2005 451,34 Euro\Rechnung.pdf.exe
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP182\A0051787.exe
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP182\A0051788.dll
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP183\A0052395.exe
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP183\A0052396.dll
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP203\A0055345.exe
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP206\A0055830.dll
Adware:Adware/ILookup No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP206\A0055831.dll
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP206\A0056037.exe
Spyware:Spyware/SafeSurf No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP206\A0056306.dll
Adware:Adware/ILookup No disinfected C:\System Volume Information\_restore{FCEC9918-3BEF-44C1-AC29-F59BF4F189E0}\RP206\A0056308.dll
super arbeit die du machst, hätte ich ohne deine hilfe nie alles geschaft, danke.
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
30.10.2005, 13:12
...neu hier

Beiträge: 3
#141 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F407-2BDC

Verzeichnis von C:\WINDOWS\tasks

26.10.2005 21:50 <DIR> .
26.10.2005 21:50 <DIR> ..
30.10.2005 12:00 266 A9C7AE5B91982517.job
18.08.2001 22:00 65 desktop.ini
30.10.2005 13:12 6 SA.DAT
3 Datei(en) 337 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Benny\Desktop

Vielen dank für die schnelle Hilfe

und nun ?
Seitenanfang Seitenende
30.10.2005, 13:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#142 die_Bohne

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

dann poste das neue Log vom HijackThis (und dann aktiviere auch wieder die Systemwiederherstellung)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 13:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#143 Foxi7881

das ging aber fix ;)

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A9C7AE5B91982517.job
del A9C7AE5B91982517.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 18:17
Member

Beiträge: 39
#144 hi sabina, hier der neue hijack log:

Logfile of HijackThis v1.99.1
Scan saved at 18:17:58, on 30.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Steffen Jenny\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=103105 Seri*hier nicht!*=DR12CNC-8301292-WBN lang=DE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1112808849772
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - http://www.aldi-fotoservice-druck.de/upload/aldi_nord_bilduebertragung.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

gruß bohne
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
30.10.2005, 18:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#145 die_Bohne

kopiere noch mal in das Regtool:

Windows Overlay Components

dann kopiere auch rein:

VisFx

und poste, was angezeigt wird
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 18:39
Member

Beiträge: 39
#146 sabina,

regsrch hat bei beiden sucheinträgen nichts gefunden.
gruß
bohne
__________
MfG Bohne
Protecus Website
Seitenanfang Seitenende
30.10.2005, 18:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#147 die_Bohne

installiere---scanne mit den zwei scannern und poste die scanreporte
http://virus-protect.org/multiavtool.html

wenn dann nichts mehr gefunden wird, "entlasse" ich den PC als "geheilt" ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 19:21
...neu hier

Beiträge: 7
#148 Hi Sabina, hier der Bericht:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, October 30, 2005 19:20:04
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 30/10/2005
Kaspersky Anti-Virus database records: 147666
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 62737
Number of viruses found: 3
Number of infected objects: 11
Number of suspicious objects: 0
Duration of the scan process: 25716 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip/install.exe/wudupdate.exe Infected: Trojan-Downloader.Win32.IstBar.lq
C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip/install.exe/wuauclt10.exe Infected: Trojan-Dropper.Win32.Pakes
C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip/install.exe Infected: Trojan-Dropper.Win32.Pakes
C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip Infected: Trojan-Dropper.Win32.Pakes
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003069.dll Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003070.exe Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003071.exe Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003072.dll Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003073.exe Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003075.exe Infected: Trojan.Win32.Crypt.t
C:\System Volume Information\_restore{AF1BFE22-D097-4611-A503-8DCBD4331329}\RP19\A0003090.dll Infected: Trojan.Win32.Crypt.t

Scan process completed.
Was nun???;)
Gruß Kurtel
Seitenanfang Seitenende
30.10.2005, 19:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#149 Kurtel

loesche:

C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip/install.exe/wuauclt10.exe

C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip/install.exe

C:\Dokumente und Einstellungen\Snakerman\Eigene Dateien\Downloads\[NO CD crack] FIFA Soccer 2006 .zip

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

(und dann aktiviere auch wieder die Systemwiederherstellung)

dann scanne noch mal mit Kaspersky

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 21:26
...neu hier

Beiträge: 7
#150 Hi Sabina, hier der wohl letzte Bericht:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Sunday, October 30, 2005 21:20:08
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 30/10/2005
Kaspersky Anti-Virus database records: 147705
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 58782
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 3167 sec
No malware has been detected. The sections that have been scanned are CLEAN.

Scan process completed.
Vielen vielen Dank. Du hast einem Computer-Fuzzie sehr geholfen. Ohne deine Hilfe wäre garnix gegangen.
Gruß Kurtel
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: