Trojaner TR/Swizzor.GFThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.08.2005, 14:19
Member
Beiträge: 16 |
||
|
||
21.08.2005, 15:17
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Danny.L
Messenger Plus! 3 deinstallieren (ist "Schuld" an der Verseuchung) alle Dateien und Ordner anzeigen Im Windows-Explorer -- Extras -- Ordneroptionen -- den Reiter "Ansicht" -- Versteckte Dateien und Ordner -- "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer -- Extras -- Ordneroptionen -- den Reiter "Ansicht"-- Dateien und Ordner - "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coljomoqsfqkhxizao.com/wQpYEqfwiWfSqANDXezBNQmaKd4bBtQ5gg9SEBELCak.html O2 - BHO: (no name) - {9A22371D-48D0-DE8C-0E0C-A4EF74FBCE9F} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe (file missing) O2 - BHO: (no name) - {C1E1C2BB-D50E-DAD4-5835-BF09B02E5653} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe (file missing) O3 - Toolbar: (no name) - {0C7B5500-24FE-31F4-233F-459432AD6A18} - (no file) O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file) O4 - HKLM\..\Run: [CD Verwaltung] C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE /tray O4 - HKLM\..\Run: [rdrprocmorebook] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe O4 - HKLM\..\Run: [IntraAxisWaveSave] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun O4 - HKCU\..\Run: [Online rdr] C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWx1Nn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWx1Nn O4 - Startup: wmplayer.exe.lnk = C:\Programme\Windows Media Player\wmplayer.exe PC neustarten-->in den abgesicherten modus deinstallieren: NewDotNet Messenger Plus! 3 SinEspias\no-spy loeschen: C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe wieder im Normalmodus: CCleaner ccleaner.com/ccdownload ----- lösche alle *temp-Dateien ------ http://virus-protect.org/temp.html Systemwiederherstellung deaktivieren Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. arbeite den escan ab, er wird die restlichen verseuchten Dateien finden, die ich nicht sehen kann. poste den Logreport vom SCan http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2005, 16:06
Member
Themenstarter Beiträge: 16 |
#3
Hallo Sabina,
ich danke Dir erstmal, dass Du Dir das Wochende für uns Hilfesuchenden um die Ohren schlägst! Mit einer so flinken Antwort hätte ich garnicht gerechnet. Ich habe also angefangen, Deine Anweisungen zu befolgen und dabei bin ich auf folgende Probleme gestoßen: nach dem fixen sollte ich Prgramme deinstallieren Messenger Plus! 3 ist entfernt NewDotNet + SinEspias/no-spy diese kann ich nicht finden, ich weiß nicht, wie ich sie deinstallieren soll die von Dir beschriebenen Dateien, die ich löschen sollte, sind ebenfalls nicht auffindbar (habe auch die ersten Anweisungen zur Sichtbarmachung befolgt) Und als vorerst letztes Problem der cCleaner, habe ihn runtergeladen, jedoch lässt er sich nicht installieren. Hatte dies auch im abgesicherten Modus versucht, aber egal wie, ich habe keinen Erfolg! Wäre schön, wenn Du mir weiter helfen könntest, und nochmals vielen Dank bis hierher!!! Danny |
|
|
||
21.08.2005, 16:12
Ehrenmitglied
Beiträge: 29434 |
#4
mache es so: deaktiviere die Systemwiderherstellung und:
clearprog.-->loeschen temp-Dateien http://www.clearprog.de/downloads.php Das Programm löscht die Surfspuren des Browsers: - unterstützte Browser: Internet Explorer, Netscape, Mozilla, FireFox und Opera - Cookies (mit Ausschlußmöglichkeit) - Verlauf - Temporäre Internetfiles (Cache) - index.dat HijackThis (Uninstall Manager) *öffne HijackThis *click Config - Misc Tools - "Open Uninstall Manager" - "Save List" (generates uninstall_list.txt) *click - Save - *nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" arbeite den escan ab, er wird die restlichen verseuchten Dateien finden, die ich nicht sehen kann. poste den Logreport vom SCan http://virus-protect.org/escan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.08.2005, 22:09
Member
Themenstarter Beiträge: 16 |
#5
Hallo Sabina,
clearprog ausgeführt. Danach habe ich wie angewiesen die Hijackdatei erstellt: ...so, ich stell das erstmal rein. Die Log-Datei von escan ist so groß, dass ich schon zwei Anläufe ohne Ergebnis abbrechen mußte um sie hierein zu bekommen. Nachtrag: Auch nach unzähligen Versuchen (zur Hälfte o.ä.) habe ich es nicht geschafft. Vielleicht hast Du dazu ja auch noch einen Tipp! Dieser Beitrag wurde am 21.08.2005 um 22:41 Uhr von Danny.L editiert.
|
|
|
||
22.08.2005, 00:02
Ehrenmitglied
Beiträge: 29434 |
#6
•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software" My Search Bar New.net Domains 6.38 ----------------------------------------------------------------------------- stelle den ersten teil rein, dann schreib ich irgendwas und dann kannst du den 2.Teil posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.08.2005, 16:05
Member
Themenstarter Beiträge: 16 |
#7
Hallo Sabina,
alle Versuche helfen nichts. Das Forum sagt ständig, der Text wäre zu lang oder interessanter Weise auch der Text sei zu kurz. Gibt es irgendwie die Möglichkeit Dir die Datei zukommen zu lassen? Die Programme sind deinstalliert, allerdings hatte ich ein Problem beim New.net Domains 6.38. Dort kam eine Fehlermeldung die angab das Prgramm sei eventuell bereits deinstalliert. Danny |
|
|
||
22.08.2005, 22:56
Ehrenmitglied
Beiträge: 29434 |
#8
nun gut, poste hier einen Teil, den anderen per PM (an Sabina schicken)
poste einen Teil in die Threads, die du schon geschrieben hast , dort ist noch Platz...irgendwie Dinge, die sich wiederholen, brauchst du nicht abzukopieren, ...) Es ist eine LOP-Verseuchung...und da wird sich viel wiederholen. Ich brauche nur die Eintraege fuer die C:\Dokumente und Einstellungen\User\Anwendungsdaten siehe hier: http://virus-protect.org/Artikel/spyware/lop.html Dort setzt sich der Lop fest... und die Dateien von VolumeSystem brauche ich auch nicht....) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.08.2005, 20:43
Member
Themenstarter Beiträge: 16 |
#9
Hallo Sabina,
ich hoffe die folgenden Daten sind genau dass, was Du sehen wolltest. Sollte dies nicht sein, bitte ich um kurze Nachricht!!! Sun Aug 21 20:08:22 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Admin data.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken. Sun Aug 21 20:08:22 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\AntiFour.exe Sun Aug 21 20:08:23 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\AntiFour.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken. Sun Aug 21 20:08:23 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Bend program.exe Sun Aug 21 20:08:23 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Bend program.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:23 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\BoneSettings.exe Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\BoneSettings.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\close win.exe Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\close win.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Dale Tick.exe Sun Aug 21 20:08:24 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Dale Tick.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:24 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\drvkeep.exe Sun Aug 21 20:08:25 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\drvkeep.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:25 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\DupeSecond.exe Sun Aug 21 20:08:25 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\DupeSecond.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:25 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Grey Ref.exe Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Grey Ref.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Info Bird.exe Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Info Bird.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\lies blah.exe Sun Aug 21 20:08:26 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\lies blah.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:26 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Mail Keep.exe Sun Aug 21 20:08:27 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Mail Keep.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:27 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Proc Clock.exe Sun Aug 21 20:08:27 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Proc Clock.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:27 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\ShimLive.exe Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\ShimLive.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\startlicense.exe Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\startlicense.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken. Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\Stop store dart [**] Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe Sun Aug 21 20:08:28 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken. Sun Aug 21 20:08:28 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\user start.exe Sun Aug 21 20:08:29 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\user start.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:32 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\ANTI JUNK.exe Sun Aug 21 20:08:32 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\ANTI JUNK.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:32 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Dash 32.exe Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Dash 32.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Idle First.exe Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Idle First.exe infected by "Trojan.Win32.Krepper.ab" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe Sun Aug 21 20:08:33 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:08:33 2005 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Move Tool.exe Sun Aug 21 20:08:34 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\Move Tool.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:08 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\bztmftxd.exe Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\bztmftxd.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\D43322FA [**] Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\Defy Glue Mfcd.exe Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\Defy Glue Mfcd.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\dovetxkn.exe Sun Aug 21 20:09:09 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\dovetxkn.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:09 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\fqxslnae.exe Sun Aug 21 20:09:10 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\fqxslnae.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:10 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gfbjqhbc.exe Sun Aug 21 20:09:10 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gfbjqhbc.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:10 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gntuurqy.exe Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gntuurqy.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gpndxpqd.exe Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\gpndxpqd.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\hnucgzmz.exe Sun Aug 21 20:09:11 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\hnucgzmz.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:11 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jomzyfjn.exe Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jomzyfjn.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken. Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jpjcqvgc.exe Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\jpjcqvgc.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\knpromvu.exe Sun Aug 21 20:09:12 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\knpromvu.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken. Sun Aug 21 20:09:12 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\opnvhzri.exe Sun Aug 21 20:09:13 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\opnvhzri.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:13 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\qlrbxiub.exe Sun Aug 21 20:09:13 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\qlrbxiub.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:13 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\ragmvtim.exe Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\ragmvtim.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\rktjwdgg.exe Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\rktjwdgg.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken. Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tpkuzymu.exe Sun Aug 21 20:09:14 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tpkuzymu.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:14 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tthnptay.exe Sun Aug 21 20:09:15 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\tthnptay.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:15 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\uuqbtxdm.exe Sun Aug 21 20:09:15 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\uuqbtxdm.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:15 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\wihibbqj.exe Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\wihibbqj.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\yuqwtfxb.exe Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\yuqwtfxb.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zenpoztb.exe Sun Aug 21 20:09:16 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zenpoztb.exe tagged as "not-a-virus:AdWare.Lop.j". Action Taken: No Action Taken. Sun Aug 21 20:09:16 2005 => Scanning File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zhbfkpmo.exe Sun Aug 21 20:09:17 2005 => File C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin\zhbfkpmo.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus! Action Taken: No Action Taken. |
|
|
||
23.08.2005, 22:54
Ehrenmitglied
Beiträge: 29434 |
#10
Danny.L
nun weiss du ja, was du manuell loeschen musst (alles im abgesicherten modus ...und auch die unterordner loeschen) C:\Dokumente und Einstellungen\LaWa\Anwendungsdaten\Inside Admin C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc wenn das geloescht ist + alle Unterordner + alle temp-Dateien ebenfalls.... Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.08.2005, 20:43
Member
Themenstarter Beiträge: 16 |
#11
Hallo Sabina,
mit einem Tag Pause habe ich mich mal wieder daran gemacht Deine Ratschläge zu befolgen. Leider weiß ich nicht genau, was ich machen sollte und hoffe alles richtig gemacht zu haben. Also ich habe die angegebenen Pfade also den betreffenden Ordner komplett gelöscht. Danach habe ich über die Datenträgerbereinigung die tmp-Dateien entfernt. So nachdem ich Dein Progrämmchen gestartet hatte kam dieser Text (im abgesicherten Modus): Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 584E-E47D Verzeichnis von C:\WINDOWS\tasks 28.03.2005 09:43 <DIR> . 28.03.2005 09:43 <DIR> .. 25.08.2005 20:00 232 A7F51101915684F9.job 25.08.2005 20:00 260 ABDF88A091A03DF8.job 25.08.2005 20:00 232 ADB0496A9187FCEA.job 25.08.2005 20:00 260 AF9243A39181F507.job 29.08.2002 14:00 65 desktop.ini 25.08.2005 20:28 6 SA.DAT 6 Datei(en) 1.055 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop So, sollte was nicht richtig gewesen sein, dann bitte ich um weitere Anweisungen! Danny |
|
|
||
25.08.2005, 23:17
Ehrenmitglied
Beiträge: 29434 |
#12
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:
%systemdrive% cd C:\WINDOWS\Tasks attrib -r -s -h A7F51101915684F9.job attrib -r -s -h ABDF88A091A03DF8.job attrib -r -s -h ADB0496A9187FCEA.job attrib -r -s -h A7F51101915684F9.job del A7F51101915684F9.job del ABDF88A091A03DF8.job del ADB0496A9187FCEA.job del AF9243A39181F507.job - Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal Poste nochmals findjobs.bat arbeite das bitte abbitte auch die pfade mit abkopieren) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.08.2005, 15:08
Member
Themenstarter Beiträge: 16 |
#13
Hallo Sabina,
habe die Anweisungen befolgt (im Normalmodus). Das Fenster öffnete sich kurz. Hier nun der komplette Text der Findjob.txt: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 584E-E47D Verzeichnis von C:\WINDOWS\tasks 26.08.2005 15:06 <DIR> . 26.08.2005 15:06 <DIR> .. 26.08.2005 13:00 260 AF9243A39181F507.job 29.08.2002 14:00 65 desktop.ini 26.08.2005 12:34 6 SA.DAT 3 Datei(en) 331 Bytes Verzeichnis von C:\Dokumente und Einstellungen\LaWa\Desktop Hab ich was falsch gemacht? Was machen wir hier, ich würde es auch gern verstehen. Danny |
|
|
||
26.08.2005, 23:06
Ehrenmitglied
Beiträge: 29434 |
#14
Zitat Was machen wir hier, ich würde es auch gern verstehen.Wir loeschen die Malware Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: %systemdrive% cd C:\WINDOWS\Tasks attrib -r -s -h AF9243A39181F507.job del AF9243A39181F507.job - Speichern als: rem.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate rem.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal Poste nochmals findjobs.bat ----------------------------------------------------------------------- datfind.bat arbeite das bitte ab auch die pfade mit abkopieren) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.08.2005, 09:01
Member
Themenstarter Beiträge: 16 |
#15
Hallo Sabina,
ausgeführt und folgende findjob.txt für Dich: Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 584E-E47D Verzeichnis von C:\WINDOWS\tasks 27.08.2005 08:59 <DIR> . 27.08.2005 08:59 <DIR> .. 29.08.2002 14:00 65 desktop.ini 27.08.2005 08:56 6 SA.DAT 2 Datei(en) 71 Bytes Verzeichnis von C:\Dokumente und Einstellungen\LaWa\Desktop Bin ja gespannt, welche interessanten Dinge da noch folgen ;-)! Danny |
|
|
||
hier sind ja einige Dinge zu diesen Trojanern veröffentlicht. Der Virenscanner (AntiVir) findet täglich mehrmals den Trojaner. Auch mit dem Programm ewido hatten wir keinen Erfolg. Auf dem Desktop erscheint auch des Öfteren sowas wie "Ringtones" oder "Flirt...", "OnlineCasino".
Da ja jedes System ziemlich einzigartig ist, poste ich hier mal meine Datei:
Logfile of HijackThis v1.99.1
Scan saved at 14:10:35, on 21.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\o2\Mobile Internet von o2 für Pocket PC\autoupdate_srv.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\PROGRA~1\SOFTWA~1\soproc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\explorer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\LaWa\Eigene Dateien\04 Downloads\Hijack\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coljomoqsfqkhxizao.com/wQpYEqfwiWfSqANDXezBNQmaKd4bBtQ5gg9SEBELCak.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9A22371D-48D0-DE8C-0E0C-A4EF74FBCE9F} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Bias Once.exe (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {C1E1C2BB-D50E-DAD4-5835-BF09B02E5653} - C:\DOKUME~1\LaWa\ANWEND~1\mathdata\Software lies.exe (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: NewsStand Toolbar - {6E94ACD5-2C6A-48AC-84EF-A4DE746D385F} - C:\Programme\NewsStand\Reader\NSIEToolbar.dll
O3 - Toolbar: (no name) - {0C7B5500-24FE-31F4-233F-459432AD6A18} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CD Verwaltung] C:\SONSTI~1\CDVERW~1\CDVERW~1.EXE /tray
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [rdrprocmorebook] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Scrbibrdrproc\InternetThunk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IntraAxisWaveSave] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memolinkintraaxis\title math.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Online rdr] C:\DOKUME~1\LaWa\ANWEND~1\INSIDE~1\partclose.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SOProc_RegSoAlertAjWx1Nn] rundll32 shell32.dll,ShellExec_RunDLL C:\PROGRA~1\SOFTWA~1\soproc.exe -pack RegSoAlertAjWx1Nn
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Startup: wmplayer.exe.lnk = C:\Programme\Windows Media Player\wmplayer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mobile Internet von o2 für Pocket PC Update Agent.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\SONSTI~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\SONSTI~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/czhGw1BGWR_djz29oDgXjQ1/vod/dmd/WMDownload.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFBBCFB-88FE-4EAB-9202-0DB9B66FA2AA}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Ich danke Euch schonmal für die wertvollen Tipps, die mir hoffentlich einen Virenfreien Rechner bescheren! Euch noch ein schönes WE!