Your personal data succesfully tracked!

#1 Hallo,
ich brauche dringend hilfe.
mein computer bilschirm ist halb rot und darauf steht YOU'RE VISITING ILLEGAL
PORN SITES!!!
FBl knows everything about you right now - all info is logged ...

Click here to protect yourself URGENTLY before it's too late.
Your IP logged
Security risk level - high

You're beeing watched and all your activity is tracked!
YOUR LIFE IS IN DANGER!
CLICK HERE TO STOP THE Thread
Außerdem steht das selbe auch auf der stardseite.

Ich habe windows XP Proffesional und antivir drauf der auch schon mehrere viren enddeckt hat aber an den bildschirm hat sich noch nichts geändert

könnt ihr mir bitte schnell weiterhelfen und es ausführlich erklären weil ich nicht so gut in solchen dingen bin

Vielen Dank

#2 Hallo@Fireland

1.HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

2.kopiere die 4 Logs (mit pfadangabe) hier
http://virus-protect.org/datfindbat.html

3.silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ich offe das sit das richtige

Logfile of HijackThis v1.99.1
Scan saved at 13:18:54, on 18.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\StopHid.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\WINDOWS\System32\946135d0b31.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\Rar$EX00.452\HijackThis.exe
C:\DOKUME~1\Sven\LOKALE~1\Temp\Rar$EX00.907\HijackThis.exe
C:\WINDOWS\System32\946135d0b31.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F1 - win.ini: load=c:\01comm32\bin\01comm32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\mouseElf.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [StopHid] StopHid.exe
O4 - HKLM\..\Run: [wlconfig] C:\PROGRA~1\WLANMO~1\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [946135d0b31] C:\WINDOWS\System32\946135d0b31.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PrvDef3.0] C:\Programme\PCSecurityShield\PrivacyDefender3\PrvDef3.0.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q
O4 - HKCU\..\Run: [946135d0b31] C:\WINDOWS\System32\946135d0b31.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C744C353-2182-42A9-8DF3-2BCFBBD4CDD3} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C744C353-2182-42A9-8DF3-2BCFBBD4CDD3} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.surfsaturn.de
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BB1FEB7-9C81-4CCD-A4F2-ACAF7FEA05F0}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E60FCFB-45D8-424D-B3EC-808C5F5C7A3A}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA3ADFB-DEEB-49D8-84D8-62053884B735}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDB1BEDA-2B0E-4D37-B25D-D9A58704934E}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF812F48-9505-4B30-9DDE-6854414FD3E7}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CS1\Services\Tcpip\..\{5BB1FEB7-9C81-4CCD-A4F2-ACAF7FEA05F0}: NameServer = 85.255.113.138,85.255.112.16
O17 - HKLM\System\CS2\Services\Tcpip\..\{5BB1FEB7-9C81-4CCD-A4F2-ACAF7FEA05F0}: NameServer = 85.255.113.138,85.255.112.16
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: WindowInstallSystem (946135d0b31svr) - Unknown owner - C:\WINDOWS\946135d0b31.exe (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SageTV - Frey Technologies, LLC - C:\Programme\Frey Technologies\SageTV\SageTVService.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

#4 Hallo@Fireland

Ich sehe schon einige Viren, aber ich brauche noch mehr Infos, um alles erfassen zu koennen

Zitat

2.kopiere die 4 Logs (mit pfadangabe) hier
http://virus-protect.org/datfindbat.html

3.silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

__________
__________
MfG Sabina

rund um die PC-Sicherheit

#5 danke, so ich hoffe das ist das,


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4880-41D3

Verzeichnis von C:\DOKUME~1\Sven\LOKALE~1\Temp

18.09.2005 17:07 16.384 Perflib_Perfdata_1c4.dat
18.09.2005 17:07 409.600 ~DFF3FB.tmp
18.09.2005 17:07 7.473 jusched.log
18.09.2005 17:00 16.384 ~DF3D56.tmp
18.09.2005 17:00 512 ~DFE5.tmp
18.09.2005 17:00 16.384 ~DFF082.tmp
18.09.2005 16:50 16.384 Perflib_Perfdata_1d0.dat
18.09.2005 16:50 409.600 ~DFE102.tmp
18.09.2005 14:36 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}7915.html
18.09.2005 14:32 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}18637.html
18.09.2005 13:58 2.048.000 Acr5.tmp
18.09.2005 13:15 16.384 ~DFAB71.tmp
18.09.2005 13:15 16.384 ~DF89AD.tmp
18.09.2005 13:10 409.600 ~DFED9D.tmp
17.09.2005 18:54 32.768 ~DF836D.tmp
17.09.2005 18:52 409.600 ~DFE0BF.tmp
17.09.2005 17:56 163.500.032 fn743dd929.cbf
17.09.2005 17:54 16.384 ~DF7A23.tmp
17.09.2005 17:28 409.600 ~DFC073.tmp
17.09.2005 17:22 0 242708159.html
17.09.2005 17:15 7.926 java_install_reg.log
17.09.2005 17:12 409.600 ~DFF252.tmp
17.09.2005 17:12 16.384 ~DF6A74.tmp
17.09.2005 16:27 409.600 ~DFCB27.tmp
17.09.2005 16:27 16.384 ~DF9BCF.tmp
17.09.2005 12:27 16.384 ~DFB9DC.tmp
17.09.2005 12:27 16.384 ~DFA426.tmp
17.09.2005 12:07 409.600 ~DFEA24.tmp
17.09.2005 12:07 16.384 ~DF6360.tmp
17.09.2005 12:05 561.360 9B9D.dmp
17.09.2005 12:05 0 WER2.tmp
17.09.2005 12:05 409.600 ~DF18FC.tmp
17.09.2005 12:05 16.384 ~DF5CFD.tmp
17.09.2005 00:06 0 cf9148a948f.088
17.09.2005 00:02 86.040 4961243.exe
16.09.2005 22:40 409.600 ~DFC439.tmp
16.09.2005 22:40 16.384 ~DF7E5D.tmp
16.09.2005 16:48 253.956 drm_dyndata.dll
16.09.2005 16:30 16.384 ~DF9ED8.tmp
16.09.2005 16:30 16.384 ~DF7B7A.tmp
16.09.2005 16:20 409.600 ~DFC021.tmp
16.09.2005 16:20 16.384 ~DF81DB.tmp
16.09.2005 15:39 134 GLG22.tmp
16.09.2005 15:39 2.560 GLJ20.tmp
16.09.2005 15:39 153.600 GLC1F.tmp
16.09.2005 15:37 134 GLG5.tmp
16.09.2005 15:37 2.560 GLJ3.tmp
16.09.2005 15:37 153.600 GLC2.tmp
16.09.2005 15:35 409.600 ~DFDE0F.tmp
16.09.2005 15:35 16.384 ~DF75DA.tmp
16.09.2005 13:43 16.384 ~DFB2F2.tmp
16.09.2005 13:43 16.384 ~DFA797.tmp
16.09.2005 13:41 409.600 ~DFE22B.tmp
16.09.2005 13:41 16.384 ~DF7CA7.tmp
15.09.2005 15:17 409.600 ~DFB1F7.tmp
15.09.2005 15:17 16.384 ~DF7BF3.tmp
14.09.2005 22:27 71 DFC5A2B2.TMP
14.09.2005 20:59 16.384 ~DF2116.tmp
14.09.2005 20:59 16.384 ~DF155F.tmp
14.09.2005 20:57 409.600 ~DFE303.tmp
14.09.2005 20:57 16.384 ~DF7465.tmp
14.09.2005 20:53 557.056 ~DFCB2E.tmp
14.09.2005 19:54 16.384 ~DF7FF0.tmp
14.09.2005 19:46 409.600 ~DF1662.tmp
14.09.2005 19:46 16.384 ~DF7E95.tmp
14.09.2005 13:43 409.600 ~DF20A5.tmp
14.09.2005 13:43 16.384 ~DF7FE3.tmp
13.09.2005 14:36 16.384 ~DF8B43.tmp
13.09.2005 14:36 16.384 ~DF7D57.tmp
13.09.2005 14:31 409.600 ~DFBFE2.tmp
13.09.2005 14:31 16.384 ~DF684B.tmp
13.09.2005 05:42 243 1F1205F7.TMP
12.09.2005 16:10 16.384 ~DF7BD9.tmp
12.09.2005 16:10 16.384 ~DF5B83.tmp
12.09.2005 15:59 409.600 ~DFFEF7.tmp
12.09.2005 15:59 16.384 ~DF7FDA.tmp
11.09.2005 20:26 409.600 ~DFA7B0.tmp
11.09.2005 20:26 16.384 ~DF7EEC.tmp
11.09.2005 18:53 4.657 ICQD.tmp
11.09.2005 18:53 13.851 ICQE.tmp
11.09.2005 18:51 11.411 ICQC.tmp
11.09.2005 18:51 4.188 ICQB.tmp
11.09.2005 18:48 9.115 ICQA.tmp
11.09.2005 18:48 3.736 ICQ9.tmp
11.09.2005 18:47 13.373 ICQ8.tmp
11.09.2005 18:47 4.689 ICQ7.tmp
11.09.2005 18:47 17.164 ICQ6.tmp
11.09.2005 18:47 5.689 ICQ5.tmp
11.09.2005 17:47 409.600 ~DF8D54.tmp
11.09.2005 17:47 16.384 ~DF2123.tmp
11.09.2005 17:04 16.384 ~DFE633.tmp
11.09.2005 17:04 16.384 ~DFC415.tmp
11.09.2005 15:53 409.600 ~DFF65E.tmp
11.09.2005 15:53 16.384 ~DF6E46.tmp
11.09.2005 13:17 16.384 ~DF6E9B.tmp
11.09.2005 13:17 16.384 ~DF6438.tmp
11.09.2005 12:30 409.600 ~DFBBC0.tmp
11.09.2005 12:30 16.384 ~DF7B11.tmp
10.09.2005 23:22 16.384 ~DF4133.tmp
10.09.2005 23:21 16.384 ~DF3513.tmp
10.09.2005 23:18 409.600 ~DFCAB7.tmp
10.09.2005 23:18 16.384 ~DF7829.tmp
10.09.2005 13:22 16.384 ~DF39DC.tmp
10.09.2005 13:22 16.384 ~DF2A65.tmp
10.09.2005 13:21 409.600 ~DFB3C2.tmp
10.09.2005 13:21 16.384 ~DF90C9.tmp
09.09.2005 22:32 16.384 ~DF3C81.tmp
09.09.2005 21:31 16.384 ~DF7A40.tmp
09.09.2005 21:31 16.384 ~DF6EF9.tmp
09.09.2005 21:28 409.600 ~DFC524.tmp
09.09.2005 20:25 16.384 ~DF93D9.tmp
09.09.2005 20:25 16.384 ~DF940D.tmp
09.09.2005 20:25 16.384 ~DF9427.tmp
09.09.2005 20:25 16.384 ~DF93F3.tmp
09.09.2005 20:25 16.384 ~DF6004.tmp
09.09.2005 20:25 16.384 ~DF6038.tmp
09.09.2005 20:25 16.384 ~DF5FEA.tmp
09.09.2005 20:25 16.384 ~DF601E.tmp
09.09.2005 19:34 16.384 ~DFB5F1.tmp
09.09.2005 19:34 16.384 ~DFAACB.tmp
09.09.2005 19:31 409.600 ~DFDE89.tmp
09.09.2005 13:41 16.384 ~DFA9EA.tmp
09.09.2005 13:41 16.384 ~DF8A7E.tmp
09.09.2005 13:39 409.600 ~DFCD97.tmp
08.09.2005 21:46 16.384 ~DFA7BB.tmp
08.09.2005 21:46 16.384 ~DF998C.tmp
08.09.2005 21:31 409.600 ~DFB716.tmp
08.09.2005 21:26 409.600 ~DF5015.tmp
08.09.2005 15:01 16.384 ~DF4B1C.tmp
08.09.2005 15:01 16.384 ~DF3F91.tmp
08.09.2005 14:58 409.600 ~DFC377.tmp
07.09.2005 20:20 16.384 ~DFE4A8.tmp
07.09.2005 20:20 16.384 ~DF9BC1.tmp
07.09.2005 20:18 409.600 ~DF7F1D.tmp
07.09.2005 17:01 23.536 java_install.log
07.09.2005 16:50 354 MSIb08ca.LOG
07.09.2005 16:50 879 jinstall.cfg
07.09.2005 15:48 16.384 ~DFDED0.tmp
07.09.2005 15:48 16.384 ~DFB808.tmp
07.09.2005 15:46 409.600 ~DF9868.tmp
07.09.2005 15:41 409.600 ~DFBA.tmp
06.09.2005 20:58 929.565 InstallRtc.msi
06.09.2005 20:12 16.384 ~DF580D.tmp
06.09.2005 20:12 16.384 ~DF4D55.tmp
06.09.2005 17:23 283 wahtmltmp00.htm
06.09.2005 17:17 409.600 ~DFF7FC.tmp
06.09.2005 16:56 16.384 ~DF6C7A.tmp
06.09.2005 16:56 16.384 ~DF5FF4.tmp
06.09.2005 16:22 409.600 ~DF9576.tmp
06.09.2005 15:33 16.384 ~DF2B3D.tmp
06.09.2005 15:33 16.384 ~DFFBE8.tmp
06.09.2005 15:32 409.600 ~DFD4F5.tmp
06.09.2005 15:24 409.600 ~DFCD0F.tmp
05.09.2005 20:16 16.384 ~DFA074.tmp
05.09.2005 20:16 16.384 ~DF83EC.tmp
05.09.2005 20:12 409.600 ~DFD5E0.tmp
05.09.2005 14:09 1.103 Outlook Startup.Log
05.09.2005 14:09 1.208 Outlook Startup.BAK
05.09.2005 13:40 409.600 ~DFE8A5.tmp
04.09.2005 20:22 16.384 ~DF4EDC.tmp
04.09.2005 20:22 16.384 ~DF421A.tmp
04.09.2005 20:20 409.600 ~DFCF10.tmp
04.09.2005 14:20 409.600 ~DFBDF.tmp
04.09.2005 13:10 409.600 ~DFADAC.tmp
04.09.2005 13:08 16.384 ~DF4048.tmp
04.09.2005 13:08 16.384 ~DF2ECE.tmp
04.09.2005 13:04 409.600 ~DF3CCA.tmp
03.09.2005 17:04 16.384 ~DF96ED.tmp
03.09.2005 17:04 16.384 ~DF8950.tmp
03.09.2005 13:26 16.384 ~DF8F92.tmp
03.09.2005 13:26 16.384 ~DF7F8B.tmp
03.09.2005 13:24 409.600 ~DF15D5.tmp
02.09.2005 17:26 11.497 ICQ136.tmp
02.09.2005 17:26 4.263 ICQ135.tmp
02.09.2005 16:38 409.600 ~DFAE42.tmp





so und dann noch dieses:



"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"Spyware Doctor" = "C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q" ["PCTools"]
"946135d0b31" = "C:\WINDOWS\System32\946135d0b31.exe" [null data]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"mouseElf" = "C:\PROGRA~1\GENIUS~1\mouseElf.exe" [empty string]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"ccApp" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" ["Symantec Corporation"]
"ccRegVfy" = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" ["Symantec Corporation"]
"CHotkey" = "mHotkey.exe" [empty string]
"StopHid" = "StopHid.exe" [null data]
"wlconfig" = "C:\PROGRA~1\WLANMO~1\wlconfig.exe -autostart" ["AccSys GmbH"]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"hgqhp.exe" = "C:\WINDOWS\System32\hgqhp.exe" [file not found]
"946135d0b31" = "C:\WINDOWS\System32\946135d0b31.exe" [null data]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"PrvDef3.0" = "C:\Programme\PCSecurityShield\PrivacyDefender3\PrvDef3.0.exe" ["http://www.pcsecurityshield.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll" ["PC Tools"]
{B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\Office\OLKFSTUB.DLL" [MS]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" ["Broadcom Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Active Desktop web content:

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"
"SubscribedURL" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Sven" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"AutoStart IR" -> shortcut to: "C:\Programme\WinTV\Ir.exe /QUIET" [file not found]
"BTTray" -> shortcut to: "C:\Programme\Sitecom\Bluetooth Software\BTTray.exe" ["Broadcom Corporation"]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
"VIA RAID TOOL" -> shortcut to: "C:\Programme\VIA\RAID\raid_tool.exe" ["VIA Technologies"]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen" -> launches: "C:\PROGRA~1\NORTON~1\NAVW32.exe /task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "97jfiu.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{C744C353-2182-42A9-8DF3-2BCFBBD4CDD3}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]

{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
"ButtonText" = "Spyware Doctor"
"CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm" [null data]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.surfsaturn.de

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AccSys WiFi Server, AccWLSvc, "C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe" ["AccSys GmbH"]
AntiVir Service, AntiVirService, ""C:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Bluetooth Service, btwdins, "C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, "C:\Programme\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]
Symantec Event Manager, ccEvtMgr, "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" ["Symantec Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 30 seconds, including 9 seconds for message boxes)

#6
CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

kopiere die 4 Logs (mit pfadangabe) hier
http://virus-protect.org/datfindbat.html
ES SIND 4 !!!!!!!!!!!!!! LOGS, bitte !!!!!!!!!!!!!!!

wenn du das erste abkopiert hast, brauchst du nur enter zu klicken und in DOS (dieses schwarze Fenster) erscheint automatisch das naechste Log)

dein PC ist dermassen verseucht, dass ich mir noch ueberlege, ob du nicht formatieren solltest.
und wenn ich die Dateien nicht sehen kann, wie soll ich dir helfen????
__________
MfG Sabina

rund um die PC-Sicherheit

#7

Zitat

ist fuer mich (Sammlung)

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"
"SubscribedURL" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"

946135d0b31" = "C:\WINDOWS\System32\946135d0b31.exe" [null data]

"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "97jfiu.dll" [file not found]

"StopHid" = "StopHid.exe" [null data]

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\Run: [946135d0b31] C:\WINDOWS\System32\946135d0b31.exe
O4 - HKCU\..\Run: [946135d0b31] C:\WINDOWS\System32\946135d0b31.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O23 - Service: WindowInstallSystem (946135d0b31svr) - Unknown owner - C:\WINDOWS\946135d0b31.exe (file missing)

C:\WINDOWS\System32\946135d0b31.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

__________
MfG Sabina

rund um die PC-Sicherheit

#8 bei mir kommt da immer das selbe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4880-41D3

Verzeichnis von C:\DOKUME~1\Sven\LOKALE~1\Temp

19.09.2005 14:57 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}27836.html
19.09.2005 14:50 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}25946.html
19.09.2005 14:50 16.384 ~DFC6CA.tmp
19.09.2005 14:50 512 ~DFB413.tmp
19.09.2005 14:50 16.384 ~DFB3A6.tmp
19.09.2005 14:48 16.384 Perflib_Perfdata_1e4.dat
19.09.2005 14:47 409.600 ~DFF0D2.tmp
19.09.2005 14:47 8.091 jusched.log
18.09.2005 18:51 16.384 ~DFDFF6.tmp
18.09.2005 18:51 16.384 ~DFD423.tmp
18.09.2005 18:47 409.600 ~DFF634.tmp
18.09.2005 18:17 16.384 ~DFB409.tmp
18.09.2005 18:17 16.384 ~DF99E5.tmp
18.09.2005 18:16 409.600 ~DFFBCF.tmp
18.09.2005 17:31 919.931 tmp.xpi
18.09.2005 17:23 16.384 ~DF96FD.tmp
18.09.2005 17:23 16.384 ~DF89C1.tmp
18.09.2005 17:07 409.600 ~DFF3FB.tmp
18.09.2005 17:00 16.384 ~DF3D56.tmp
18.09.2005 17:00 512 ~DFE5.tmp
18.09.2005 17:00 16.384 ~DFF082.tmp
18.09.2005 16:50 16.384 Perflib_Perfdata_1d0.dat
18.09.2005 16:50 409.600 ~DFE102.tmp
18.09.2005 13:58 2.048.000 Acr5.tmp
18.09.2005 13:15 16.384 ~DFAB71.tmp
18.09.2005 13:15 16.384 ~DF89AD.tmp
18.09.2005 13:10 409.600 ~DFED9D.tmp

#9 Schau doch bitte nach, ob sich die Dateien sys.txt, system.txt, und system32.txt auf Deinem Rechner unter C:\ hast. Das sind die Log-Dateien, die Sabina benötigt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#10 Managor (was ist los mit meiner bat-Datei? Wieso funktioniert sie nicht? Hast du eine Ahnung???? Oder wendet sie der User nicht richtig an und klickt so schnell, dass sie der Texteditor nicht oeffnet?
__________
MfG Sabina

rund um die PC-Sicherheit

#11 sorry aber ich versteh das nicht so ganz wenn sich bei mir der texteditor öffnet dann kommt da das selbe nochmal.

#12 Hi Sabina,

keine Panik! Mit der datfind.bat ist alles OK. Hab's gerade ausprobiert. Wie sollte sich daran auch was ändern?
Hier liegt ein reiner Bedienungsfehler des Users vor (ohne weiteren Kommentar)

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#13 Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 40 Tage raus

einzeln reinkopieren:--> dann oeffnet sich der Editor,,,alles abkopieren und das naechste rein (alles 4 Mal)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs

reinkopieren:

946135d0b31svr

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:

WindowInstallSystem

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#14 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten-->suchen-->
97jfiu.dll
242708159.html

946135d0b31.exe <--hier loesche alles Werte, die du findest

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
"ForceActiveDesktopOn"=dword:00000001 <--auf 0 stellen

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" <--loeschen
{CLSID}\InProcServer32\(Default) = "97jfiu.dll"

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
alles loeschen:
"FriendlyName" = ""
"Source" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"
"SubscribedURL" = "C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html"


•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\946135d0b31.exe
C:\WINDOWS\System32\97jfiu.dll
C:\WINDOWS\97jfiu.dll
C:\DOKUME~1\Sven\LOKALE~1\Temp\242708159.html
C:\WINDOWS\System32\hgqhp.exe

PC neustarten

scanne mit Kaspersky und berichte
http://virus-protect.org/index.html
__________
MfG Sabina

rund um die PC-Sicherheit