Your System is infected auf dem Deskop

#1 Habe mir nun auch so ein schwarzen Kasten auf dem Destop eingefangen mit roten Buchstaben.
Bekomme das Ding auch nicht weg.
Habe hier zwar schon etliches gelesen,aber so recht checken tue ich es nicht.
Habe mal ein Log hier,könnt Ihr mir dazu helfen??Danke und Gruß Michael





Logfile of HijackThis v1.99.1
Scan saved at 20:32:53, on 10.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\logonui.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
D:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\WINDOWS\System32\icasServ.exe
D:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\ouao\ioaw.exe
D:\WINDOWS\System32\l?gonui.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\AOL 9.0a\aoltray.exe
D:\WINDOWS\twain_32\A4S2_600\watch.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
D:\WINDOWS\MSCAN\Msoffice\panel.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\ewido\security suite\ewidoguard.exe
D:\WINDOWS\SYSTEM32\GEARSEC.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\wanmpsvc.exe
D:\Programme\AOL 9.0a\waol.exe
D:\Programme\AOL 9.0a\shellmon.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~2\MICROS~1\Office10\OUTLOOK.EXE
E:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {38ED2463-BE85-BB52-82FE-B66941A184E0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CXMon] "D:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ZyConfig] "D:\Programme\ZyConfig\ZyConfig.exe" -update
O4 - HKLM\..\Run: [icasServ] D:\WINDOWS\System32\icasServ.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Rbpr] D:\Programme\ouao\ioaw.exe
O4 - HKCU\..\Run: [Hvfuslk] D:\WINDOWS\System32\l?gonui.exe
O4 - Startup: Watch.lnk = D:\WINDOWS\twain_32\A4S2_600\watch.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0a\aoltray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~2\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAF1B21-3B29-4E01-B8D9-B3893A3A02C7}: NameServer = 205.188.146.145
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - D:\WINDOWS\System32\dcom_9.dll
O21 - SSODL: System - {E701737E-8634-4538-BDEA-6B53015FE5D1} - vr_sys.dll (file missing)
O21 - SSODL: SpySheriff - {054BA454-369C-1B2D-7621-C712C7E5E428} - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - D:\WINDOWS\wanmpsvc.exe

#2 Poste mal dein Log hier hin> http://www.hijackthis.de/
Wenn du dann nicht weiter weißt noch mal hier hin.
Mfg Merlinx

#3 Hallo Ostseefloh,

leider bist Du wohl übersehen worden. Falls Dein Problem weiterhin besteht, sag bitte bescheid.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 Hallo,

also ich habe den Service Pack 2 Installiert.Noch paar Updates,vorher diverse Sachen gelöscht "was befallen" war.
Lief dann gut.
Bloß nach dem runterfahren lief Win Xp nicht mehr hoch.
Da ich aber 4 Paritionen habe,mit Dual Boot System,(Win 98 SE/XP Pro)konnte ich noch viele Daten rüberkopieren und habe die XP Platte komplett formatiert.
Danach XP neu rauf,sofort sämtliche Updates Installiert,bis Microsoft sagte,es gibt keine weiteren Updates im Moment.
Dann paar mal Windows neu hochgefahren,alles ok.
Registry gesichert,und anschließend meine üblichen Programme installiert.
Läuft nun einwandfrei,kein rotes Feld meckert mehr rum.

Warum nun XP nicht mehr hoch lief weiß ich auch nicht,könnte jedoch am Service Pack 2 liegen.
Man liest oft in Foren,das nach Update XP nicht mehr geht.
Obs etwas mit Windows Anti Spy oder fehlender Windows Aktivierung ;-) zu tun hat,weiss ich nicht.
Wie gesagt,habe alles gelöscht,und mir kein Kopp gemacht mehr weshalb und warum.
Hatte ehrlich auch kein Bock mehr darauf und nun ist hoffentlich Ruhe.
Trotz allem Danke und viele Virenfreie Wochen.

#5 Aber Du hast hoffentlich ServicePack 2 wieder installiert? Ich hab nichts gegen Dich, aber dennoch wäre es nicht schön (zumindest für Dich), wenn Du Stammgast bei uns wirst
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Ja,
auch den Service Pack 2.
Eigentlich alles was bis dato zu haben gibt/gab.
Stammgast werden gerne,aber lieber beim Griechen oder so.

#7 Hmm ich habs wegbekommen indem ich im Registry-Editor in Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System und dort das mit Wallpaper C:\Windows\Desktop.html rausgemacht habe ... und dann im Ordner selbst die Datei gelöscht hab

#8 hab das selbe problem, hab zwar schon vieles gefixt über hijack aber meinen hintergrund kann ich immer noch nicht ändern! immer noch diese warnung.. :o( wie kann man die auf einfache weiße erseten?

Logfile of HijackThis v1.99.1
Scan saved at 07:23:49, on 06.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\System32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\SYSTEM32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Lord of Lowrider\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\windows\blank.mht
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mypaymate.com/dialerplatform/tmp.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Userinit] C:\Programme\Gemeinsame Dateien\system\lsass.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Konfabulator.lnk = C:\Programme\Pixoria\Konfabulator\Konfabulator.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {71B16FA1-ABB6-4F98-B1C8-3B702D439A89} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {71B16FA1-ABB6-4F98-B1C8-3B702D439A89} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{805A6271-646E-4D54-AECE-2FA893B4DD23}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

#9 Nutz mal Spybot dazu. Es sollte dir diese reparieren koennen.
__________
MfG Ralf
SEO-Spam Hunter

#10 Hallo@hardcore

da ist auch ein Virus drauf....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\windows\blank.mht
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [Userinit] C:\Programme\Gemeinsame Dateien\system\lsass.exe

neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
(man bei CCleaner als Administrator angemeldet sein)
lösche alle temp-Dateien




http://virus-protect.org/silentrunner.html
poste das log

http://virus-protect.org/datfindbat.html
poste die 4 LOGS (mit der pfadangabe oben...30 Tage reichen)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 "Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"VD" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"]
"KernelFaultCheck" = "C:\windows\system32\dumprep 0 -k" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{00020000-0000-1011-8004-0000C06B5161}" = "WIBU-SYSTEMS Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WIBU-SYSTEMS\System\WibuShellExt.dll" ["WIBU-SYSTEMS AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" [empty string]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" [file not found]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" [file not found]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Lord of Lowrider\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmypics.scr" [MS]


Startup items in "Lord of Lowrider" & "All Users" startup folders:
------------------------------------------------------------------

C:\Dokumente und Einstellungen\Lord of Lowrider\Startmenü\Programme\Autostart
"Konfabulator" -> shortcut to: "C:\Programme\Pixoria\Konfabulator\Konfabulator.exe" ["Yahoo, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"BTTray" -> shortcut to: "C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{71B16FA1-ABB6-4F98-B1C8-3B702D439A89}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\windows\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
kavsvc, kavsvc, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth-Druckeranschluss\Driver = "bthcrp.dll" [empty string]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 11 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 11 seconds.
---------- (total run time: 69 seconds)



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 38F6-714E

Verzeichnis von C:\WINDOWS

09.10.2005 23:44 665 win.ini
09.10.2005 23:39 192 winamp.ini
09.10.2005 23:38 0 0.log
09.10.2005 23:36 2.048 bootstat.dat
09.10.2005 23:15 6.018 ModemLog_Bluetooth Fax Modem.txt
09.10.2005 23:15 3.674 ModemLog_Generic SoftK56.txt
09.10.2005 23:15 2.410 ModemLog_Bluetooth Null Modem.txt
09.10.2005 21:51 50 wiaservc.log
09.10.2005 21:51 216 wiadebug.log
06.10.2005 07:30 27 .ini
06.10.2005 05:03 116 NeroDigital.ini
06.10.2005 04:45 868.566 ntbtlog.txt
06.10.2005 03:08 99.970 UninstallFirefox.exe
06.10.2005 03:08 3.471 mozver.dat
06.10.2005 02:58 335 mozregistry.dat
29.09.2005 19:21 3.932.214 Firefox Wallpaper.bmp
23.09.2005 05:49 231 wmsetup.log
22.09.2005 22:18 1.167.146 setupapi.log
19.09.2005 18:51 102.254 Windows Update.log
19.09.2005 17:28 62 MotoSkin.INI
17.09.2005 09:44 316.640 WMSysPr9.prx
17.09.2005 06:47 1.442 COM+.log
17.09.2005 06:47 437 Q816843.log
17.09.2005 06:47 1.200 xpsp1hfm.log
17.09.2005 06:47 437 Q814560.log
17.09.2005 04:43 290.816 Setup1.exe
17.09.2005 04:43 1.713 ST6UNST.001
17.09.2005 04:43 74.752 ST6UNST.EXE
17.09.2005 04:40 5.790 MotoKit Setup Log.txt
17.09.2005 04:40 720.896 iun6002.exe
17.09.2005 03:19 1.709 ST6UNST.000
17.09.2005 01:52 45.828 ModemLog_Motorola USB Modem.txt
17.09.2005 01:36 9.733 KB822603.log
17.09.2005 01:31 11.268 ModemLog_Motorola USB Modem #3.txt
17.09.2005 01:26 45.828 ModemLog_Motorola USB Modem #2.txt
17.09.2005 00:44 53.756 iis6.log
17.09.2005 00:44 1.626 tabletoc.log
17.09.2005 00:44 1.374 imsins.log
17.09.2005 00:44 17.996 comsetup.log
17.09.2005 00:44 13.014 tsoc.log
17.09.2005 00:44 9.214 ntdtcsetup.log
17.09.2005 00:44 18.590 ocgen.log
17.09.2005 00:44 1.277 ocmsn.log
17.09.2005 00:44 1.172 msgsocm.log
17.09.2005 00:44 3.560 netfxocm.log
17.09.2005 00:44 20.936 FaxSetup.log
17.09.2005 00:44 11.758 msmqinst.log
15.09.2005 22:33 1.176 GTA-SA_Trn_Settings.ini
10.09.2005 13:04




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 38F6-714E

Verzeichnis von C:\DOKUME~1\LORDOF~1\LOKALE~1\Temp

09.10.2005 23:44 16.384 Perflib_Perfdata_7f8.dat
09.10.2005 21:36 11.835 RG503877.pdf
09.10.2005 21:15 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25018.html
09.10.2005 21:15 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}17835.html
4 Datei(en) 30.180 Bytes
0 Verzeichnis(se), 104.961.761.280 Bytes frei






Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 38F6-714E

Verzeichnis von C:\WINDOWS\system32

09.10.2005 23:36 330 desktops.ini
09.10.2005 23:36 203.328 FNTCACHE.DAT
08.10.2005 21:59 2.206 wpa.dbl
06.10.2005 07:30 2.183.808 LOGOOS.EXE
06.10.2005 04:13 1.632 split.exe
06.10.2005 04:13 2 vx.tll
06.10.2005 03:14 0 pavjob.log
06.10.2005 02:38 135.168 sfc_os.dll
06.10.2005 02:38 38.139 userinit.exe
19.09.2005 19:02 53.608 perfc009.dat
19.09.2005 19:02 383.254 perfh009.dat
19.09.2005 19:02 394.500 perfh007.dat
19.09.2005 19:02 64.598 perfc007.dat
19.09.2005 19:02 899.052 PerfStringBackup.INI
17.09.2005 03:32 3.799 jupdate-1.5.0_04-b05.log
09.09.2005 14:06 75 LuResult.txt
28.08.2005 16:25 176.167 rmoc3260.dll
28.08.2005 16:24 5.632 pndx5032.dll
28.08.2005 16:24 6.656 pndx5016.dll
28.08.2005 16:24 278.528 pncrt.dll
28.08.2005 15:11 32 ac_tiny.cfg
21.08.2005 21:30 239 NVU001.nvu
21.08.2005 06:35 0 h323log.txt
21.08.2005 05:46 25.065 wmpscheme.xml
21.08.2005 05:41 261 $winnt$.inf
21.08.2005 05:39 2.951 CONFIG.NT
21.08.2005 05:39 16.832 amcompat.tlb
21.08.2005 05:39 23.392 nscompat.tlb
21.08.2005 05:39 488 WindowsLogon.manifest
21.08.2005 05:39 488 logonui.exe.manifest
21.08.2005 05:38 749 nwc.cpl.manifest
21.08.2005 05:38 749 ncpa.cpl.manifest
21.08.2005 05:38 749 wuaucpl.cpl.manifest
21.08.2005 05:38 749 cdplayer.exe.manifest
21.08.2005 05:38 749 sapi.cpl.manifest
21.08.2005 05:37

#12 das ist ein Problem: die userinit.exe wurde von dem Virus ersetzt, besser also, du laedst erst eimal von einem sauberen PC eine saubere userinit.exe und benennst die alte um in userinit.ex und kopierst die saubere in system32.
die userinit.ex -Datei zipst du und schickst bitte mit genauer Bezeichnung an: virus@protecus.de

Zitat

Copies %System%\userinit.exe (a valid system file) as the following file and then deletes it:
%Windir%\system\userinit.exe

Verzeichnis von C:\WINDOWS\system32
09.10.2005 23:36 330 desktops.ini
06.10.2005 02:38 135.168 sfc_os.dll
06.10.2005 02:38 38.139 userinit.exe

Start-->Ausfuehren-->regedit

# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

loesche auf der rechten Seite: (falls es noch vorhanden ist)
"Userinit" = "%System%\userinit.exe"

"SFCDisable" = "FFFFFF9D" <---aendere in 0

"SFCScan" = "0" <--aendere in 1

KILLBOX
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:
...

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\desktops.ini
C:\windows\blank.mht
C:\windows\.ini
C:\WINDOWS\system32\split.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\system\lsass.exe
C:\WINDOWS\system32\Bluetooth.dll
C:\WINDOWS\system32\sfc_os.dll

PC neustarten

suche/loesche :
_Toolbar_Class_32

arbeite das ab und poste die logs
http://virus-protect.org/multiavtool.html

scanne bitte mit panda, berichte und poste das neue log vom Hijackthis
http://virus-protect.org/onlinescan.html

??????????

Zitat

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
"VD"

http://securityresponse.symantec.com/avcenter/venc/data/trojan.satier.html

Zitat

"SFCScan"
0 The policy is disabled or not configured, or the policy is enabled and set to Do not scan during startup. Windows File Protection scans files only during setup.
1 The policy is enabled and set to Scan during startup. Windows File Protection scans files at setup and each time you start Windows 2000. This setting delays each startup.
2 The policy is enabled and set to Scan once. Windows File Protection scans files the next time you start the system.


"SFCDisable" FFFFFF9D
komplett ausgeschaltet (nur ohne Service Pack oder mit geänderter Datei)
http://www.winfaq.de/faq_html/tip0504.htm

__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo, ich bin ganz neu hier und denke ich habe dasselbe Problem. Hier mal mein HijackThis Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:50:24, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {EC232D69-9FA9-B05B-F7B9-942C8B690DEE} - C:\WINDOWS\system32\eufececo.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit Azureus-start.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139609791918
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich hoffe ihr könnt mir helfen, ich versuch schon den ganzen Tag das Ding loszuwerden und hab schon alles mögliche versucht mit einem Ergebnis = 0.

#14 thaag

das problem kann man loesen

1.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 So hab mal alles gemacht...

echo:

Zitat

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0B4-B39A

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.01.2006 13:43 367 LegitCheckControl.inf
06.04.2004 20:03 172.072 MessengerStatsPAClient.dll
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
19.12.2003 17:02 126.976 popcaploader.dll
19.12.2003 15:43 241 popcaploader.inf
26.05.2005 05:19 291 wuweb.inf
10.11.2005 14:41 2.088 YazzleActiveX.inf
06.06.2006 11:52 249.856 YazzleActiveX.ocx
17.11.2004 23:44 114.728 Zintro.ocx
9 Datei(en) 667.781 Bytes

Anzahl der angezeigten Dateien:
9 Datei(en) 667.781 Bytes
0 Verzeichnis(se), 15.922.819.072 Bytes frei

system32:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0B4-B39A

Verzeichnis von C:\WINDOWS\system32

17.06.2006 12:54 664.775 jkllm.ini2
17.06.2006 12:52 29.204 nvapps.xml
17.06.2006 12:52 59.917 ld101.tmp
17.06.2006 12:52 8.704 simpole.tlb
17.06.2006 12:52 4.980 stdole3.tlb
17.06.2006 12:52 47.616 hp102.tmp
17.06.2006 12:26 664.807 jkllm.tmp
17.06.2006 12:26 664.743 jkllm.ini
17.06.2006 11:55 665.378 jkllm.bak2
17.06.2006 11:45 47.616 hp101.tmp
17.06.2006 10:54 47.616 hp100.tmp
17.06.2006 10:54 59.917 ld100.tmp
16.06.2006 20:46 73.728 dcomcfg.exe
16.06.2006 17:59 176.128 yvvdj.dll
16.06.2006 17:59 4.286 ts.ico
16.06.2006 17:59 10.860 atmclk.exe
16.06.2006 17:59 4.286 ot.ico
16.06.2006 15:13 57.384 avsda.dll
16.06.2006 14:42 663.973 jkllm.bak1
16.06.2006 14:41 569.396 mllkj.dll
15.06.2006 22:12 2 wnstssv.exe
15.06.2006 13:19 176.128 rmzdzx.dll
15.06.2006 13:17 71.181 regperf.exe
15.06.2006 13:17 39.437 cbxxwxx.dll
15.06.2006 09:14 2.206 wpa.dbl
13.06.2006 17:48 81.920 wowexec-xyz.dll
13.06.2006 17:44 156.672 oins.exe
09.06.2006 03:19 5.967.776 MRT.exe
06.06.2006 16:51 139.264 eufececo.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
25.05.2006 16:55 664 d3d9caps.dat
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 15:49 6.919 jupdate-1.5.0_06-b05.log
18.05.2006 07:36 450.560 jscript.dll
18.05.2006 06:55 165.120 FNTCACHE.DAT
14.05.2006 10:48 181.248 rasmans.dll
13.05.2006 15:17 176.167 rmoc3260.dll
13.05.2006 15:16 5.632 pndx5032.dll
13.05.2006 15:16 6.656 pndx5016.dll
13.05.2006 15:16 278.528 pncrt.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
29.04.2006 06:07 5.533.696 wmp.dll
24.04.2006 20:53 34.308 BASSMOD.dll
23.04.2006 21:31 552 d3d8caps.dat
10.04.2006 19:39 192.000 wmp.oca
28.03.2006 21:38 136.192 MSCOMCT2.oca
28.03.2006 21:38 267.264 MSCOMCTL.oca
28.03.2006 21:38 241.664 COMCTL32.oca
28.03.2006 21:38 53.248 COMCT232.oca
26.03.2006 09:14 311.740 perfh009.dat
26.03.2006 09:14 40.128 perfc009.dat
26.03.2006 09:14 48.354 perfc007.dat
26.03.2006 09:14 316.924 perfh007.dat
26.03.2006 09:14 723.744 PerfStringBackup.INI
19.03.2006 12:44 16.832 amcompat.tlb
19.03.2006 12:44 23.392 nscompat.tlb
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe

temp:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0B4-B39A

Verzeichnis von C:\DOKUME~1\thaag\LOKALE~1\Temp

windows:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0B4-B39A

Verzeichnis von C:\WINDOWS

17.06.2006 10:53 0 0.log
17.06.2006 10:53 1.146.376 WindowsUpdate.log
17.06.2006 10:52 2.048 bootstat.dat
17.06.2006 01:05 32.594 SchedLgU.Txt
16.06.2006 17:08 311.858 ntbtlog.txt
16.06.2006 15:55 863.401 setupapi.log
16.06.2006 14:47 628 win.ini
16.06.2006 14:47 227 system.ini
15.06.2006 20:32 33.273 spupdsvc.log
15.06.2006 20:12 176.690 comsetup.log
15.06.2006 20:12 71.700 iis6.log
15.06.2006 20:12 112.126 ntdtcsetup.log
15.06.2006 20:12 187.425 tsoc.log
15.06.2006 20:12 1.374 imsins.log
15.06.2006 20:12 25.613 ocmsn.log
15.06.2006 20:12 10.053 KB917734.log
15.06.2006 20:12 19.057 wmsetup.log
15.06.2006 20:12 239.732 ocgen.log
15.06.2006 20:12 24.242 msgsocm.log
15.06.2006 20:12 467.015 FaxSetup.log
15.06.2006 20:10 1.374 imsins.BAK
15.06.2006 20:10 15.796 KB918439.log
15.06.2006 20:10 16.476 KB917344.log
15.06.2006 20:10 22.813 updspapi.log
15.06.2006 20:10 15.440 KB917953.log
15.06.2006 20:09 15.424 KB911280.log
15.06.2006 20:09 18.548 KB916281.log
15.06.2006 20:08 11.692 KB914389.log
15.06.2006 13:56 21.806 COM+.log
15.06.2006 13:56 50 wiaservc.log
15.06.2006 13:56 213 wiadebug.log
15.06.2006 12:06 37 vbaddin.ini
15.06.2006 11:19 116 NeroDigital.ini
13.06.2006 17:44 39.424 YAXUninst.exe
13.06.2006 15:41 5 WinSysXcntr1.prx
12.06.2006 14:41 139 AIMPR.INI
12.06.2006 14:25 211 uno.ini
11.06.2006 16:11 54.156 QTFont.qfn
22.05.2006 21:49 10 popcinfo.dat
22.05.2006 17:35 1.510 OEWABLog.txt
17.05.2006 20:20 615 eReg.dat
13.05.2006 15:20 25 cdplayer.ini
13.05.2006 15:19 4.120 mozver.dat
10.05.2006 18:49 11.692 KB913580.log
28.04.2006 18:19 1.409 QTFont.for
27.04.2006 13:56 0 homeDVD-Fotos5_dlx.INI
26.04.2006 20:13 11.326 KB900485.log
25.04.2006 06:29 174.470 setupact.log
23.04.2006 19:52 68 ScrAntic.ini
19.04.2006 22:29 10.874 Directx.log
19.04.2006 14:12 800 GEARInstall.log
14.04.2006 23:03 18.118 KB908531.log
14.04.2006 23:03 17.267 KB911562.log
14.04.2006 23:02 18.639 KB912812.log
14.04.2006 23:01 14.166 KB911565.log
14.04.2006 23:00 11.894 KB911567.log
19.03.2006 13:04 378 wmsetup10.log
19.03.2006 12:43 316.640 WMSysPr9.prx
18.03.2006 11:31 4.357 WGA.log

c:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0B4-B39A

Verzeichnis von C:\

17.06.2006 12:56 0 sys.txt
17.06.2006 12:55 9.541 system.txt
17.06.2006 12:55 133 systemtemp.txt
17.06.2006 12:54 107.132 system32.txt
17.06.2006 12:31 856 DirDPF.txt
17.06.2006 12:31 2 DirDPFCns.txt
17.06.2006 10:52 805.306.368 pagefile.sys
16.06.2006 17:56 4.206 avenger.txt
16.06.2006 14:47 211 boot.ini
20.05.2006 14:38 1.506.640 IMDec_Setup.exe
20.05.2006 00:12 160 309548242.txt
18.05.2006 18:31 133 Histoy-Sniffer.bat
09.05.2006 16:23 0 AILog.txt

mfg Tobi