rdsndin.exe, hclean32.exe; Ballon der immer auftaucht

#1 Ich hab mir beim surfen irgendwas gefangen. Erst hat sich ein angebliches Antispyware-Programm auf meinen PC geladen. Ich war natürlich so doof und hab das Ding über die Verknüpfung, die es auf dem Desktop erstellt hat, gestartet. Dies hat anscheinend meine Firewall ganz verstellt.Für die meisten Programme die ich automatisch eingestellt hab fragte diese nach Zugriff. Dieses komische Programm konnte ich deinstallieren. Mit hijackthis hab ich ein paar Sachen löschen können. seit dem fragt die Firewall auch nicht mehr für jedes Proggi nach Zugriff

Aber eines geht nicht weg: ab und zu erscheint unten in der Leiste ein Icon und zeigt dann in einer „Sprechblase“ folgendes an:

„your computer might be at risk

- your virus status is bad
- spyware activity Detected

Click this ballon to fix this problem“

Habe mich jetzt noch nicht getraut es anzuklicken, da ich befürchte das was ähnliches wie oben geschildert passiert.

Und fast jedes Mal wenn ich online gehe fange ich mir folgende Trojaner ein: rdsndin.exe, hclean32.exe

Kann mir jemand helfen?

Hier ein aktuelles hijackthis-log:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:02, on 25.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\baxbex\FSService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\baxbex\fsp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netzeitung.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [fspr] "C:\Programme\baxbex\FolderShield.exe" CR
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Calenz Startup.lnk = C:\Programme\Calenz\Calenz.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123949390677
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.lycos.de/app/uploader/FileUploader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FSService - Unknown owner - C:\Programme\baxbex\FSService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 Da aus dem HJT-Log nichts verdächtiges zu erkennen ist:

1. Systemwiederherstellung ausschalten
Start -> Systemsteuerung -> System -> Systemwiederherstellung

2. eScanCheck verwenden und das Ergebnis hier posten (wie auf der Seite beschrieben).

3. Schon mal vormerken: WindowsUpdate benutzen und damit das System auf den neusten Stand bringen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Ich habe genau das Problem mit "hclean32.exe" und "rdsndin.exe"...leider bin ich ABSOLUT unerfahren mit sämtlichen PC Dingen...ich weiß ja nicht einmal, was ein HJT-Log ist und geschweige denn, wie man dasselbe hierher postet. Kann mir jemand helfen? DANKE!

#4 Hallo basil! Siehe Private Messages!
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Hallo Managor, erstmal Vielen Dank für deine Hilfe! Ich habs so gemacht wie du gesagt hast.
Der Ballon ist nicht mehr aufgetaucht, dass heißt aber nicht allzuviel, weil ich schon mal gedacht dass der weg ist und dann war der wieder da. Das Problem mit den beiden oben genannten Trojanern besteht immer noch ...

Brauchst du die Errors auch? Ich hab die erstmal nicht mit reinkopiert, weil das bestimmt über zehn Seiten sind ...

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Aug 25 21:02:04 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: No Action Taken.
2: Thu Aug 25 21:02:04 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
3: Thu Aug 25 21:02:05 2005 => System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: No Action Taken.
4: Thu Aug 25 21:03:28 2005 => Offending file found: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\insthelp.dll
5: Thu Aug 25 21:03:28 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
6: Thu Aug 25 21:03:36 2005 => Offending file found: C:\WINDOWS\iun6002.exe
7: Thu Aug 25 21:03:36 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
8: Thu Aug 25 21:03:51 2005 => Offending file found: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\setup_wm.exe
9: Thu Aug 25 21:03:51 2005 => System found infected with WhenU.SaveNow Spyware/Adware (setup_wm.exe)! Action taken: No Action Taken.
10: Thu Aug 25 21:04:04 2005 => Offending file found: C:\DOKUME~1\CHRIST~1\Desktop\config.dat
11: Thu Aug 25 21:04:04 2005 => System found infected with StartSurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.
12: Thu Aug 25 21:59:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
13: Thu Aug 25 22:16:46 2005 => File C:\WINDOWS\Downloaded Program Files\607193.exe infected by "Trojan.Win32.Diamin.gen" Virus! Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\Downloaded Program Files\607193.exe => Trojan.Win32.Diamin.gen

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Aug 25 22:30:40 2005 => Total Objects Scanned: 206455
Thu Aug 25 22:30:40 2005 => Total Virus(es) Found: 10
Thu Aug 25 22:30:40 2005 => Total Errors: 351
Thu Aug 25 22:30:40 2005 => Virus Database Date: 2005/08/25
Thu Aug 25 22:30:40 2005 => Virus Database Count: 145610

#6 Hallo@ctt + basil

1. bitte abarbeiten:
http://virus-protect.org/datfindbat.html

2.silentrunner
http://virus-protect.org/silentrunner.html

3.Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
*entpacken
*gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
*Doppelklick (Ausführen)-- rkfiles.bat -- warten bis sich das DOS-Fenster schliesst (auch wenn es sehr lange dauert) --- poste C:\log.txt

4.FindT
http://bilder.informationsarchiv.net/Nikitas_Tools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread

dann koennen wir alles loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo, hier kommen die ersten Sachen. Der verdammte Ballon ist doch wieder aufgetaucht :-(

Verzeichnis von C:\WINDOWS\system32

27.08.2005 18:00 1.054 fsbx.ini
27.08.2005 17:59 894 vsconfig.xml
27.08.2005 00:11 1.158 wpa.dbl
25.08.2005 17:37 16.896 Thumbs.db
21.08.2005 01:40 946 qtplugin.log
02.08.2005 19:33 4 patchver.txt
29.07.2005 17:45 6 jpatchver.txt
24.07.2005 16:22 16.832 amcompat.tlb
24.07.2005 16:22 23.392 nscompat.tlb
12.07.2005 18:04 23.304 GWFSPidGen.dll
12.07.2005 18:04 520.456 LegitCheckControl.dll
09.06.2005 22:32 692.736 DivX.dll
06.06.2005 23:13 356.436 DivXMedia.ax
29.05.2005 01:35 692.224 divxdec.ax
26.05.2005 04:19 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 466.200 wuapi.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 128.280 wucltui.dll




Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

27.08.2005 18:00 494.168 mmmxl.log
27.08.2005 18:00 16.384 Perflib_Perfdata_4ec.dat
27.08.2005 18:00 0 JET7A33.tmp
27.08.2005 00:48 189 wecerr.txt
22.08.2005 22:15 10.240 Thumbs.db
22.08.2005 21:49 71.121.461 mwav.log
22.08.2005 21:49 38.555 mwXface.log
22.08.2005 11:20 18.714 daily.avc
22.08.2005 11:20 10.608 daily-ex.avc
22.08.2005 11:20 11.402 avp.klb
22.08.2005 04:43 134.804 spydb.avs
22.08.2005 04:43 134.804 spydb.old
21.08.2005 21:39 12.238 MPC15.tmp
21.08.2005 21:39 12.238 MPCDB.tmp
21.08.2005 20:36 16.384 1F5.tmp
21.08.2005 20:04 286.720 esupdate.exe
21.08.2005 19:27 253.504 mwavscan.com
21.08.2005 01:38 426 MSI72509.LOG
21.08.2005 01:08 244 ~3C.tmp
21.08.2005 01:08 32.768 46e1.rra
21.08.2005 01:07 0 isde479f.rra
20.08.2005 23:11 4.293 h2r9.tmp
20.08.2005 18:18 9.704 English.con
20.08.2005 18:07 43.950 French.Age
20.08.2005 17:36 0 JET7DB.tmp
20.08.2005 14:48 32.564 malw004.avc
20.08.2005 14:48 70.407 ca.avc
20.08.2005 14:48 20.439 fa.avc
20.08.2005 14:48 59.950 malw001.avc
20.08.2005 14:48 49.789 troj033.avc
20.08.2005 14:48 18.381 worm006.avc
20.08.2005 14:48 43.209 unp024.avc
20.08.2005 14:48 50.866 unp025.avc
20.08.2005 14:48 30.649 unp026.avc
20.08.2005 14:48 51.475 troj025.avc
20.08.2005 14:48 49.303 troj032.avc
20.08.2005 14:48 9.078 ext005.avc
20.08.2005 14:48 48.747 troj030.avc
20.08.2005 14:48 32.577 virus020.avc
20.08.2005 14:48 41.459 troj028.avc
20.08.2005 14:48 50.509 troj029.avc
20.08.2005 14:48 37.993 gen999.avc
20.08.2005 14:48 29.370 gen004.avc
20.08.2005 00:00 0 WER42.tmp
19.08.2005 18:36 0 JET48FD.tmp
18.08.2005 17:45 67.241 unp004.avc
18.08.2005 17:45 71.736 unp002.avc
18.08.2005 17:07 41.954 Finnish.Age
18.08.2005 17:07 44.445 Polish.Age
18.08.2005 17:07 45.507 Spanish.Age
18.08.2005 17:07 41.103 Romanian.Age
18.08.2005 17:07 44.677 Portuguese.Age
18.08.2005 17:07 52.660 Italian.Age
18.08.2005 17:07 54.505 language.ini
18.08.2005 17:07 54.505 German.Age
18.08.2005 16:03 114.688 msvlclnt.dll
18.08.2005 16:01 38.976 Getvlist.exe
17.08.2005 16:36 50.230 troj021.avc
17.08.2005 16:36 49.623 troj012.avc
17.08.2005 16:36 54.719 malw002.avc
17.08.2005 16:36 56.354 troj024.avc
16.08.2005 20:55 1.437 ~WRD0000.doc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 50.678 troj007.avc
16.08.2005 15:33 56.902 unp001.avc
16.08.2005 15:33 51.801 troj011.avc
16.08.2005 15:33 34.766 gen001.avc
16.08.2005 15:24 58.536 about.bmp
16.08.2005 15:24 58.536 bitmap1.bmp
14.08.2005 16:14 0 WER4B.tmp
14.08.2005 16:03 0 WER46.tmp
13.08.2005 19:43 50.873 troj009.avc
13.08.2005 19:43 8.008 unp000.avc
13.08.2005 19:43 56.664 troj022.avc
13.08.2005 14:24 520.614 pa034161.fdf
13.08.2005 14:18 56.150 pa002561.fdf
13.08.2005 14:17 56.150 pa039441.fdf
13.08.2005 00:20 10.897 tdkundo1.tmp
13.08.2005 00:20 0 tdkundo2.tmp
13.08.2005 00:18 842 TWAIN.LOG
13.08.2005 00:18 156 Twunk001.MTX
13.08.2005 00:18 0 Twunk002.MTX
13.08.2005 00:18 2 Twain001.Mtx
12.08.2005 23:21 11.638 MPC4C.tmp
12.08.2005 19:01 48.861 gen002.avc
12.08.2005 19:01 85.787 unp023.avc
12.08.2005 19:01 51.739 worm003.avc
12.08.2005 19:01 80.280 unp019.avc
12.08.2005 19:01 50.223 troj010.avc
12.08.2005 19:01 61.156 unp014.avc
12.08.2005 19:01 52.056 unp009.avc
12.08.2005 19:01 41.148 gen003.avc
11.08.2005 17:14 1.869 French.tcp
10.08.2005 18:32 43.421 troj027.avc
10.08.2005 18:32 76.290 virus015.avc
10.08.2005 18:32 50.078 troj031.avc
10.08.2005 14:22 47.107 troj026.avc
10.08.2005 14:22 50.476 troj008.avc
09.08.2005 18:22 1.570 avp.set
09.08.2005 18:22 101.222 troj001.avc
09.08.2005 18:22 49.239 ext001.avc
09.08.2005 18:22 48.710 ext004.avc
08.08.2005 17:56 0 JETF446.tmp
08.08.2005 17:56 16.384 Perflib_Perfdata_7e0.dat
04.08.2005 14:31 50.398 troj016.avc


27.08.2005 17:59 242.481 WindowsUpdate.log
27.08.2005 17:59 50 wiaservc.log
27.08.2005 17:59 159 wiadebug.log
27.08.2005 17:59 0 0.log
27.08.2005 17:59 2.048 bootstat.dat
27.08.2005 15:57 32.624 SchedLgU.Txt
27.08.2005 15:41 6.400 balloon.wav
26.08.2005 20:49 192 winamp.ini
25.08.2005 22:39 146.286 ntbtlog.txt
22.08.2005 23:11 15.360 Thumbs.db
21.08.2005 18:56 654.007 setupapi.log
21.08.2005 01:40 458 GEARInstall.log
21.08.2005 01:01 1.002 win.ini
13.08.2005 18:17 28.125 comsetup.log
13.08.2005 18:17 7.369 iis6.log
13.08.2005 18:17 15.437 ntdtcsetup.log
13.08.2005 18:17 25.844 tsoc.log
13.08.2005 18:17 1.374 imsins.log
13.08.2005 18:17 8.098 KB898461.log
13.08.2005 18:17 2.464 ocmsn.log
13.08.2005 18:17 36.914 ocgen.log
13.08.2005 18:17 2.882 msgsocm.log
13.08.2005 18:17 49.298 FaxSetup.log
13.08.2005 18:17 1.374 imsins.BAK
13.08.2005 18:17 10.727 KB893803v2.log
13.08.2005 18:16 5.896 KB842773.log
13.08.2005 18:16 220.054 setupact.log
30.07.2005 14:44 3.857 wmsetup.log
24.07.2005 16:24 378 wmsetup10.log
24.07.2005 16:22 316.640 WMSysPr9.prx
24.07.2005 16:22 299.552 WMSysPrx.prx
19.07.2005 18:05 1.998 ModemLog_Smart Link 56K Modem.txt
29.03.2005 14:37 4 info147.sys
29.03.2005 14:37 4 data4711.bak
29.03.2005 14:37 4 num41.jbd
09.02.2005 17:09 6.748 Windows Update.log
16.01.2005 19:29 8.152 tmlpcert2005
12.01.2005 19:14 52 pex.INI
12.01.2005 19:14 544 Ulead32.ini
30.07.2004 22:13 25 cdplayer.ini
12.06.2004 13:20 299.714 Kittss.exe
12.06.2004 13:20 515.324 Kittss.scr


Verzeichnis von C:\

27.08.2005 18:15 0 sys.txt
27.08.2005 18:14 8.562 system.txt
27.08.2005 18:12 1.117.527 systemtemp.txt
27.08.2005 18:11 96.762 system32.txt
27.08.2005 17:59 536.399.872 hiberfil.sys
27.08.2005 17:59 805.306.368 pagefile.sys
26.08.2005 22:36 6 AVPCallback.log
26.08.2005 12:30 488 hpfr5550.xml
21.08.2005 19:00 113.651 big.jpg
19.08.2005 19:58 560.646 InstCombiMovie.EXE
19.08.2005 16:41 55.001 jesus.jpg
18.12.2004 15:32 88 MP3List.m3u
22.10.2004 23:59 613 Tippmaster.lnk
15.10.2004 15:55 28.500 !apihook.txt
06.03.2004 16:21 15 mandant.ini
28.01.2004 18:29 161 TO_InstallLog.txt
05.10.2003 20:51 31 QKeys.ini
02.10.2003 13:27 1.451 hpothb07.dat
02.10.2003 13:27 18.099 hpothb07.tif
30.08.2003 12:47 194 boot.ini
18.06.2003 04:00 24.694 UNSCANNED.TXT
18.06.2003 04:00 49.122 SIGNED.TXT
18.06.2003 04:00 218 TOTALS.TXT
18.06.2003 04:00 73.814 SIGVERIF.TXT
18.06.2003 03:57 2 UNSIGNED.TXT
18.06.2003 03:55 8.133 CLDMA.LOG
18.06.2003 03:28 267 o2micro.cfg
18.06.2003 02:14 0 IO.SYS
18.06.2003 02:14 0 CONFIG.SYS
18.06.2003 02:14 0 MSDOS.SYS
29.08.2002 14:00 4.952 bootfont.bin
29.08.2002 14:00 47.580 NTDETECT.COM
29.08.2002 14:00 235.296 ntldr




"Silent Runners.vbs", revision 40, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]
"VOBID" = "C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount" ["VOB Computersysteme GmbH"]
"IW ControlCenter" = "C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" ["Pinnacle Systems, Inc."]
"PinnacleDriverCheck" = "C:\WINDOWS\System32\PSDrvCheck.exe" [empty string]
"T-DSL SpeedMgr" = ""C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"" [empty string]
"Ulead Memory Card Detector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 7.0\Monitor.exe" ["Ulead Systems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AnyDVD" = "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" ["SlySoft, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"Zone Labs Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs Inc."]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"MimBoot" = "C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" ["Musicmatch, Inc."]
"MMTray" = ""C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"" ["Musicmatch, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"fspr" = ""C:\Programme\baxbex\FolderShield.exe" CR" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{A5366673-E8CA-11D3-9CD9-0090271D075B}\(Default) = "IeCatch2 Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\FlashGet\jccatch.dll" ["Amaze Soft"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWshext.dll" ["Pinnacle Systems, Inc."]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["Pinnacle Systems, Inc."]
"{310A0C95-EA11-42AE-A8E4-53E69E650310}" = "ZipGenius Zip Drop handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\DROPHA~1.DLL" [null data]
"{FE8D01BF-610A-4261-9C6E-32D65A42C907}" = "ZipGenius Drag and Drop handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\ZGDRAG~1.DLL" [null data]
"{2E5AC2E0-406D-11D4-86B3-FA5861508E25}" = "ZipGenius Zip InfoTip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\zgtips.dll" [null data]
"{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}" = "ZipGenius Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]
"{FACEB421-912E-11D3-B7D5-0080AD41AF95}" = "ZipStar Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpeedProject\ZipStar 4\ZSShell.dll" ["SpeedProject"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "cseue.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ZipGenius 5\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]
ZipStar4\(Default) = "{FACEB421-912E-11D3-B7D5-0080AD41AF95}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpeedProject\ZipStar 4\ZSShell.dll" ["SpeedProject"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ZipGenius 5\(Default) = "{C169E5F0-E2B3-41F3-B81A-7BA529CBE193}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ZIPGEN~1\contmenu.dll" ["M.Dev Software"]
ZipStar4\(Default) = "{FACEB421-912E-11D3-B7D5-0080AD41AF95}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\SpeedProject\ZipStar 4\ZSShell.dll" ["SpeedProject"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Christian\Desktop\Downloads\Funpics\krü klm,..bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssmarque.scr" [MS]


Startup items in "Christian" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\Christian\Startmenü\Programme\Autostart
"Calenz Startup" -> shortcut to: "C:\Programme\Calenz\Calenz.exe /c" [file not found]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"hp psc 2000 Series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe" ["Hewlett-Packard Co."]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Ulead Kalendar Checker 4.0 SE" -> shortcut to: "C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe" [file not found]
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#hp psc 2170 series#1062251204" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 2170 series#1062251204"" [empty string]
"WebReg 20031101160341" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe /TaskName 20031101160341 /N "psc 2175" /M Q3068A /S MY33JC70GS73 /AP 303 /F /T " ["Hewlett-Packard Co."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 26
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2D1DDD38-CE4D-459B-A01C-F11BC92D5B69}" = "GMX Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GMX\GMX Toolbar\toolbar.dll" ["GMX GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2D1DDD38-CE4D-459B-A01C-F11BC92D5B69}" = "GMX Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\GMX\GMX Toolbar\toolbar.dll" ["GMX GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "&FlashGet"
"Exec" = "C:\PROGRA~1\FlashGet\flashget.exe" ["Amaze Soft"]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
(unwritable string)

Missing lines (compared with English-language version):
[Version]: 2 lines
[RestoreHomePage]: 1 line
[RestoreHomePage.reg]: 1 line
[RestoreBrowserSettings.reg]: 12 lines
[DeleteTemplates.reg]: 5 lines
[DeleteAutosearch.reg]: 1 line
[Strings]: 1 line
[RestoreBrowserSettings]: 2 lines
[Strings]: 3 lines


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
FSService, FSService, "C:\Programme\baxbex\FSService.exe" [null data]
iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
SmartLinkService, SLService, "slserv.exe" [" "]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 148 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 17 seconds.
---------- (total run time: 204 seconds)




Hier das Ergebnis von rkfiles:

C:\Dokumente und Einstellungen\Christian\Eigene Dateien

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\oembios.bin: qPEc2H
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\oembios.bin: qPEc2H

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\zg.exe: UPX!
Finished
bye


Bei FindT hab ich folgendes Problem:
"C:\windows\sytwm32/cmd.exe
C:\windows\sytwm32/autoexec.nt. Die Systemdatei ist nicht geeignet,um Anwendungen für MS-DOS oder MS Windows auszuführen.Klicken sie auf "Schließen" um die Anwendung zu beenden."

Dann hab ich die Möglichkeit auf "schließen" oder "ignorieren" zu klicken.
Was soll ich tun?

#8 Hallo@ctt

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""


Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fix.reg" auf dem Desktop doppelklicken. und sofort den PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"


C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\setup_wm.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\insthelp.dll
C:\DOKUME~1\CHRIST~1\Desktop\config.dat
C:\WINDOWS\iun6002.exe
C:\WINDOWS\System32\cseue.exe
C:\WINDOWS\System32\rdsndin.exe
C:\WINDOWS\System32\hclean32.exe
C:\WINDOWS\BALLOON.WAV
C:\WINDOWS\Downloaded Program Files\607193.exe
C:\WINDOWS\zg.exe


CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina, erstmal tausend Dank an dich :-) Es hat funktioniert. Die Killbox hatte zwar nicht alles gelöscht, aber das habe ich dann manuell gemacht.

Der Ballon und die Attacken durch hclean32.exe und rdsndin.exe sind weg :-)

e-scan hat aber noch was anderes gefunden, was sich anscheinend ständig immer neu generiert. Der Dateiname dieser Dinger fängt immer mit "A" an und darauf folgt dann immer eine Zahlenkombination. Jedes mal wenn ich das gelöscht habe generiert es sich neu, jedoch mit einer neuen Zahlen kombination. Ich habe mal die beiden letzten e-scan logs mitgeschickt (die Errors hab ich mal wegen des Umfangs weggelassen):

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Aug 28 18:46:33 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: No Action Taken.
2: Sun Aug 28 18:46:33 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
3: Sun Aug 28 18:46:33 2005 => System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: No Action Taken.
4: Sun Aug 28 18:48:18 2005 => File C:\WINDOWS\System32\csjvz.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
5: Sun Aug 28 18:56:22 2005 => Scanning File C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Auswertung INFECTED.doc
6: Sun Aug 28 19:02:48 2005 => File C:\escheck\ECBackup\607193.exe.bkp.bkp infected by "Trojan.Win32.Diamin.gen" Virus! Action Taken: No Action Taken.
7: Sun Aug 28 19:03:33 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
8: Sun Aug 28 19:17:47 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000202.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
9: Sun Aug 28 19:17:47 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000217.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
10: Sun Aug 28 19:17:49 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000238.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
11: Sun Aug 28 19:17:49 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000241.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
12: Sun Aug 28 19:17:49 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000257.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
13: Sun Aug 28 19:17:51 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000293.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
14: Sun Aug 28 19:17:51 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000307.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
15: Sun Aug 28 19:17:52 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000322.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
16: Sun Aug 28 19:18:48 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001504.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.
17: Sun Aug 28 19:24:32 2005 => File C:\WINDOWS\system32\csjvz.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Aug 28 18:49:15 2005 => File C:\WINDOWS\System32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
2: Sun Aug 28 19:17:47 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000214.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
3: Sun Aug 28 19:18:48 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001505.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
4: Sun Aug 28 19:27:37 2005 => File C:\WINDOWS\system32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.


--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\System32\csjvz.exe => Trojan-Dropper.Win32.Vidro.u
2: C:\escheck\ECBackup\607193.exe.bkp.bkp => Trojan.Win32.Diamin.gen
3: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000202.exe => Trojan-Dropper.Win32.Vidro.u
4: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000217.exe => Trojan-Dropper.Win32.Vidro.u
5: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000238.exe => Trojan-Dropper.Win32.Vidro.u
6: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000241.exe => Trojan-Dropper.Win32.Vidro.u
7: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000257.exe => Trojan-Dropper.Win32.Vidro.u
8: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000293.exe => Trojan-Dropper.Win32.Vidro.u
9: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000307.exe => Trojan-Dropper.Win32.Vidro.u
10: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000322.exe => Trojan-Dropper.Win32.Vidro.u
11: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001504.exe => Trojan-Dropper.Win32.Vidro.u
12: C:\WINDOWS\system32\csjvz.exe => Trojan-Dropper.Win32.Vidro.u

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sun Aug 28 19:29:00 2005 => Total Objects Scanned: 158850
Sun Aug 28 19:29:00 2005 => Total Virus(es) Found: 20
Sun Aug 28 19:29:00 2005 => Total Errors: 374
Sun Aug 28 19:29:00 2005 => Virus Database Date: 2005/08/25
Sun Aug 28 19:29:00 2005 => Virus Database Count: 145610






Und hier das Log vom Scan danach:







--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Aug 28 21:05:16 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: No Action Taken.
2: Sun Aug 28 21:05:16 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
3: Sun Aug 28 21:05:16 2005 => System found infected with isearch Spyware/Adware ({1c78ab3f-a857-482e-80c0-3a1e5238a565})! Action taken: No Action Taken.
4: Sun Aug 28 21:12:24 2005 => Scanning File C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\INFECTED 2808 1929.LNK
5: Sun Aug 28 21:27:00 2005 => Scanning File C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Auswertung INFECTED.doc
6: Sun Aug 28 21:27:39 2005 => Scanning File C:\Dokumente und Einstellungen\Christian\Eigene Dateien\escan logs\INFECTED 2808 1929.doc
7: Sun Aug 28 21:30:25 2005 => Scanning File C:\Dokumente und Einstellungen\Christian\Recent\INFECTED 2808 1929.lnk
8: Sun Aug 28 21:41:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
9: Sun Aug 28 21:56:54 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001511.exe infected by "Trojan-Dropper.Win32.Vidro.u" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Sun Aug 28 21:55:55 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000214.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
2: Sun Aug 28 21:56:53 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001505.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
3: Sun Aug 28 21:56:54 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001521.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.
4: Sun Aug 28 21:56:54 2005 => File C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001522.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\Christian\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet =>
2: C:\Dokumente und Einstellungen\Christian\Eigene Dateien\escan logs =>
3: C:\Dokumente und Einstellungen\Christian\Recent =>
4: C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001511.exe => Trojan-Dropper.Win32.Vidro.u

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Sun Aug 28 22:06:49 2005 => Total Objects Scanned: 158852
Sun Aug 28 22:06:49 2005 => Total Virus(es) Found: 9
Sun Aug 28 22:06:49 2005 => Total Errors: 374
Sun Aug 28 22:06:49 2005 => Virus Database Date: 2005/08/25
Sun Aug 28 22:06:49 2005 => Virus Database Count: 145610

#10 Hallo@ctt

1: Sun Aug 28 18:49:15 2005 => File C:\WINDOWS\System32\ntfsnlpa.exe tagged as "not-a-virus:AdWare.Msnagent.b". Action

hast du das maunell geloescht? weil es in der zweiten Runde nicht mehr auftaucht....
C:\WINDOWS\System32\ntfsnlpa.exe

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Zitat

oder du deaktivierst die Systemwiederherstellung ..oder kopierst es in die killbox oder loeschst es mit escan

C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP3\A0000214.exe
C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001505.exe
C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001521.exe
C:\System Volume Information\_restore{7D45BDA3-C1F4-4C2B-850E-02B89BBA936E}\RP5\A0001522.exe

arbeite das bitte ab:
http://virus-protect.org/ewido.html
und poste den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

ja, C:\WINDOWS\System32\ntfsnlpa.exe habe ich manuell gelöscht.

Ich habe die A000......exe-Dinger schon versucht mit e-scan zu löschen. Ich werde es nochmal im abgesicherten Modus mit escan versuchen.
Danach werde ich dann den ewido ausprobieren.

Noch eine Frage: Der Messenger öffnet sich beim Start von Windows immer automatisch! Er ist nicht im Autostart und in der Menüleiste des Messengers habe ich das auch schon deaktiviert...

#12 nimm den Messenger aus dem Systemstart:

Start--Ausfuehren--> msconfig

dann der letzte Reiter--> nimm das Haekchen beim Messenger raus und start neu.
Dann , nach dem Hochfahren, bestaetige die Aenderung .
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo,

habe die A000....exe-Dinger jetzt doch mit e-scan wegbekommen, es lag vielleicht daran das ich beim ersten Versuch die Systemwiederherstellung erst während des scannens deaktiviert habe. Ich lass morgen sicherheitshalber noch mal e-scan und ewida drüberlaufen .

Der messenger ist weder in dem Reiter "Dienste" noch im Reiter "Systemstart aufgeführt. Wäre es eine Lösung wenn ich den Ordner C:\Programme\Messenger einfach löschen würde? Ich brauch den nämlich eh nicht. Ich werd dann morgen oder übermorgen wieder posten, eher schaff ich leider nicht, habe momentan nen 16-Stunden-Tag ...

Mfg Christian

#14 es gibt Viren, die den Messenger automatisch starten lassen
ueberpruefe in der registry

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Messenger
Start = "dword:00000004"

(Note: The default value is "dword:00000002".)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo Sabina,

ich hab bei Start/ausführen "regedit" eingegeben. Ich hoffe das ist richtig.
Dann habe ich in dem von dir angegebenen Verzeichnis u.a. folgendes gefunden:

Name: Start, Typ: REG_DWORD, Wert: 0 x 00000002 (2)

Name: Type, Typ: REG_DWORD, Wert: 0 x 00000020 (32)

Folgendes hab ich nicht gefunden: Start = "dword:00000004"

Soll ich das erstere davon löschen?


Ich hab noch Ewido drüberlaufenlassen, der hat noch ein paar Spyware-Cookies gefunden, aber sonst nix.

Mein PC scheint jetzt bis auf die Messenger-Sache sauber zu sein.

Hälst du es für sinnvoll nach dieser "Seuche" mal zu formatieren?(habe nur ne Windows-recovery-cd; geht das damit überhaupt?) Könnten irgendwelche Sicherheitslücken oder so übrig geblieben sein?

Viele Grüße, Christian