(Might be at risk) anderer Virus ?

#0
19.09.2005, 17:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 hast du die reg-Dateien schon ausgefuehrt?

dann deinstalliere den Antivirus und lade:

Kaspersky Anti-Virus 5.0.388 (Deutsch, 2. September 2005)
http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/

scanne im abgesicherten modus und poste den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 17:24
Member

Themenstarter

Beiträge: 43
#17 wie den antivirus deinstallieren o_O


AntiVir Guard??


brauchst du noch die system32 ?
__________
Wer Fehler findet darf sie behalten ;)
Seitenanfang Seitenende
19.09.2005, 17:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 ja, poste die Dateien und deinstalliere den Antivirus, sonst wird das System mit dem Kaspersky zu lahm.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 17:33
Member

Themenstarter

Beiträge: 43
#19 License key ??!?!?!

dadurch das ich AvAntiVirus Guard deinstalliert habe neuer Virus.... weil Kaspersky nicht aktiviert ist....

..alles nochmal von vorne ?

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

19.09.2005 17:09 12.410 apicu.exe

19.09.2005 14:32 0 bcoko.txt
19.09.2005 08:39 66.560 lwlde.dll
19.09.2005 05:35 13.581 jjanm.txt
18.09.2005 23:44 0 asfiles.txt

18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 03:32 2.206 wpa.dbl
12.09.2005 21:17 43.520 CmdLineExt03.dll
08.09.2005 13:00 197.756 larew.log
27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
24.08.2005 01:20 11.801 sysjw32.exe
23.08.2005 16:15 11.801 winky.exe

11.08.2005 20:10 3.126 tempimg.tmp ????
11.08.2005 20:10 6.144 access.ctl
29.07.2005 21:07 73.728 asuninst.exe
__________
Wer Fehler findet darf sie behalten ;)
Dieser Beitrag wurde am 19.09.2005 um 17:37 Uhr von coaxi editiert.
Seitenanfang Seitenende
19.09.2005, 17:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 dann deinstalliere ihn wieder und lade eine Trialversion (die ist 15 Tage free)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 17:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 loeschen:

C:\WINDOWS\system32\apicu.exe
C:\WINDOWS\system32\bcoko.txt
C:\WINDOWS\system32\lwlde.dll
C:\WINDOWS\system32\jjanm.txt
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\sysjw32.exe
C:\WINDOWS\system32\winky.exe

dann noch mal alle 4 logs, aber nur die letzten 3 Wochen, die Daten von 2001 brauche ich nicht. (bis Mitte August)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.09.2005, 23:08
Member

Themenstarter

Beiträge: 43
#22 Kaspersky hat einige dateien entdeckt die ich nicht lschen konnte aber ich wei nicht ob es alle waren ich poste mal die 4 logs von datfind und dann noch von Hijackthis

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

19.09.2005 23:03 0 wineo.exe
19.09.2005 23:03 0 crob.exe
18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 03:32 2.206 wpa.dbl
12.09.2005 21:17 43.520 CmdLineExt03.dll
11.09.2005 02:55 0 javaki.exe
08.09.2005 13:00 197.756 larew.log
07.09.2005 06:42 66.560 ecblo.dll
27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
11.08.2005 20:10 3.126 tempimg.tmp
11.08.2005 20:10 6.144 access.ctl
29.07.2005 21:07 73.728 asuninst.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

19.09.2005 18:20 2.243 kb.log
19.09.2005 16:41 16.384 ~DFE934.tmp
19.09.2005 16:33 9.553 temp.frA77A
19.09.2005 16:21 16.384 ~DFD57.tmp
19.09.2005 15:51 2.550 17C.tmp
5 Datei(en) 47.114 Bytes
0 Verzeichnis(se), 2.820.636.672 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

19.09.2005 23:02 0 0.log
19.09.2005 23:02 348.085 WindowsUpdate.log
19.09.2005 23:01 2.048 bootstat.dat
19.09.2005 23:00 14.524 SchedLgU.Txt
19.09.2005 22:59 65.978 Seifenblase.bmp
19.09.2005 22:59 86 NeroDigital.ini
19.09.2005 22:59 1.405 msdfmap.ini
19.09.2005 22:59 1.208 mgxoschk.ini
19.09.2005 22:59 16.730 Feder.bmp
19.09.2005 22:59 146 CleaningLab.INI
19.09.2005 17:32 411.998 ntbtlog.txt
19.09.2005 15:42 3.709 setupapi.log
19.09.2005 15:35 180 setupact.log
19.09.2005 15:33 0 setuperr.log
18.09.2005 22:35 0 Sti_Trace.log
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
14.09.2005 14:35 578 M3JPEG.INI
14.09.2005 14:26 141 AVMASTER.INI
14.09.2005 14:26 707 _default.pif
10.09.2005 01:56 84.545 crsd.dll
08.09.2005 14:48 13.581 uecbl.txt
07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
07.09.2005 00:02 0 lfazz.dll
31.08.2005 10:45 0 muma2003.INI
28.08.2005 19:26 246 musicmaker.INI
28.08.2005 12:23 93.696 Blue Girl.scr
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
25.08.2005 17:42 0 syscf.exe
24.08.2005 04:26 197.756 bklag.dat
24.08.2005 03:14 3.567 ukdgj.txt
24.08.2005 00:02 3.567 ougnu.txt
23.08.2005 17:50 0 technomaker.INI
22.08.2005 21:08 17.062 Kaffeetasse.bmp
21.08.2005 07:18 133 MusicEditor.INI
21.08.2005 00:45 32 pavsig.txt
18.08.2005 19:25 360 BeatBox.INI
11.08.2005 20:09 316.640 WMSysPr9.prx



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

19.09.2005 23:05 0 sys.txt
19.09.2005 23:05 4.882 system.txt
19.09.2005 23:05 481 systemtemp.txt
19.09.2005 23:05 106.109 system32.txt
19.09.2005 23:01 805.306.368 pagefile.sys
19.09.2005 17:16 795.484 reclock_log.txt
19.09.2005 15:33 675 smitfiles.txt
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.532.191 Bytes
0 Verzeichnis(se), 2.820.636.672 Bytes frei



Logfile of HijackThis v1.99.1
Scan saved at 23:08:49, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll
O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe"
O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe
O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe
O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Network Security Service (NSS) ( 11F#`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe



;)
__________
Wer Fehler findet darf sie behalten ;)
Seitenanfang Seitenende
19.09.2005, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 es hat keinen Sinn, der PC ist hoffnungslos verseucht und keine Virenscanner loeschen die Rootkits in den Streams.
Ich hatte die Hoffnung, dass der Kasperskyscanner alles im abgesicherten modus loescht...aber nein.

Dir bleibt nur formatieren, es tut mir leid.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2005, 09:07
Member

Themenstarter

Beiträge: 43
#24 *Hiobsbotschaft*


aber danke fr deine Hilfe


Ich habe gestern abend noch ein paar Programme gelscht (deinstalliert) und nochmal den Kaspersky im abgesicherten modus laufen lassen leider habe ich heute morgen verschlafen das ich hals ber kopf zur arbeit musste und nicht mehr schauen kann was er noch gefunden hat. Wen nich wieder zu Hause bin rume ich den Pc noch ein bischen weiter auf.

Meine Frage dazu ist noch was ein guter regcleaner ist und ob es berhaupt was bringt das ich ihn ein bischen aufrume. Um dann den Virus zu lschen.

Kann sich der einer oder andere Virus durch einen noch anderen Virus installieren?
Also ich habe ja bei der bisherigen beseitung trotzdem ein PopUp Virus gehabt und kann dieser PopUp Virus den anderen Virus als aktion installieren ?

Desweiteren ist imemrhin der Desktop Hintergrund wieder vernderbar.

Die IE Starseite wird leider durch diesen PopUp Virus (oder wie man den auch nennen mag) wieder auf about blank gesetzt.
Ich habe mir einfach mal den Quelltext angeschaut doch die Java script Zeile ist ??verschlsselt?? oder eine >200ZeichenParameter Befehls Zeile
__________
Wer Fehler findet darf sie behalten ;)
Seitenanfang Seitenende
20.09.2005, 11:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 es ist so: du hattest zwei verschiedene Viren/Trojaner, der eine hat den Desktop blockkiert, das haben wir leicht in Ordnung bringen koennen.

Der andere, der Startseitentrojaner zeichnet alle deine Aktivitaeten im Net auf, (Passworte usw) und generiert sich immer wieder neu, weil er sich in den Steams eingenistet hat und dazu noch in Dateien, die zu windows gehoeren....du merkst das nur am about blank, aber die dll, uebermittelt alles.

Zitat

Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796
,Default_Page_URL = about:blank

Zitat

Der AboutBuster hat einige erkannt und geloescht, der Kaspersky auch, aber wie es scheint, erkennen die Virenscanner nicht alle.
Beispiel:--> sind Windowsdateien, die vom Trojaner infiziert worden sind ...
C:\WINDOWS\Seifenblase.bmp:vgaym:$DATA Infected: Trojan-Downloader.Win32.Agent.bq
C:\WINDOWS\_default.pif:ukdgju:$DATA Infected: Trojan-Downloader.Win32.Agent.bq

AboutBuster:
Removed Stream! C:\WINDOWS\_default.pif:ngpcbh
----------------------------------------------------------------------------------
Da wird dir auch ein RegCleaner nicht weiterhelfen koennen.
Dazu ist ein Dienst erstellt und aktiv, da du mir nie die Registryeintraege gepostet hast, konnten wir den auch nicht loeschen.

Zitat

O23 - Service: Workstation NetLogon Service ( 11F#`I) - Unknown owner - C:\WINDOWS\apiol32.exe
Nun generiert der Trojaner immer wieder neue Dateien, wie du gut am Datfindbat sehen kannst.

Zitat

12.09.2005 14:46 11.801 addbw32.exe

das naechste war dann: (nach Kaspersky und den anderen Scannern)
19.09.2005 17:09 12.410 apicu.exe
19.09.2005 14:32 0 bcoko.txt
19.09.2005 08:39 66.560 lwlde.dll
19.09.2005 05:35 13.581 jjanm.txt
18.09.2005 23:44 0 asfiles.txt

----------------

wenn es das nicht bringt: hier ist ein Reinigungsweg: der aber, wie gesagt, nicht 100% funktioniert.
http://virus-protect.org/Artikel/dienste/sptrojan.html

da steht auch, wie man den Dienst in der Registry loescht und ein Tool:
sphjfix107.zip (30.71 KB - runtergeladen 21 Mal.)
http://www.hwe-forum.de/index.php/topic,4847.msg75029.html



Gruss
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2005, 13:33
Member

Themenstarter

Beiträge: 43
#26 So ich habe einfach mal ein paar dateien gelscht nochmal ein paar logs ;)

diese ecblo.dll habe ich gelscht

AboutBuster 5.0 reference file 28
Scan started on [20.09.2005] at [12:48:01]
------------------------------------------------
Removed Stream! C:\WINDOWS\AVMASTER.INI:esqpty
Removed Stream! C:\WINDOWS\ODBC.INI:chcqdr
Removed Stream! C:\WINDOWS\Seifenblase.bmp:kyhtb
Removed Stream! C:\WINDOWS\_default.pif:ngpcbh
------------------------------------------------
Removed File! : C:\Windows\System32\ecblo.dll
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:48:23



"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"RemoteControl" = "e:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"apimc32.exe" = "C:\WINDOWS\apimc32.exe" [file not found]
"addxd32.exe" = "C:\WINDOWS\addxd32.exe" [file not found]
"d3tq32.exe" = "C:\WINDOWS\d3tq32.exe" [file not found]

"KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"mslq.exe" = "C:\WINDOWS\system32\mslq.exe" [null data]
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ntat.exe" = "C:\WINDOWS\ntat.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1BB06227-02D6-8AE4-475A-58D02CC66F9A}\(Default) = "Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\crsd.dll" [null data]
{F8E930CE-BAB0-9603-5678-E35F00904295}\(Default) = "Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\apicd.dll" [file not found]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung fr Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung fr HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"]
"{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"]
"{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "FCAOBAIX" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\FCAOBAIX\Startmen\Programme\Autostart
"Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"ATI CATALYST System Tray" -> shortcut to: "C:\Programme\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data]
"AutoCAD Startup Accelerator" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe" [null data]
"InterVideo WinCinema Manager" -> shortcut to: "E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" ["InterVideo Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

INFECTION WARNING! The running services cannot be counted.
Presence of a spyware service is suspected.
The script has been forced to exit.



----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 51 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 16 seconds.
---------- (total run time: 89 seconds)




Ad-Aware SE Build 1.06r1
Logfile Created on;)ienstag, 20. September 2005 12:48:52
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R66 14.09.2005


References detected during the scan:

MRU List(TAC index:0):2 total references
SearchClick(TAC index:10):1 total references


Definition File:
=========================
Definitions File Loaded:
Reference Number : SE1R66 14.09.2005
Internal build : 77
File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref
File size : 522778 Bytes
Total size : 1570907 Bytes
Signature data size : 1537712 Bytes
Reference data size : 32683 Bytes
Signatures total : 43686
CSI Fingerprints total : 1045
CSI data size : 37239 Bytes
Target categories : 15
Target families : 746


Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium III
Memory available:75 %
Total physical memory:523760 kb
Available physical memory:390536 kb
Total page file size:1280092 kb
Available on page file:1212572 kb
Total virtual memory:2097024 kb
Available virtual memory:2048252 kb
OS:Microsoft Windows XP Professional Service Pack 2 (Build 2600)

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan within archives
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Obtain command line of scanned processes
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Write-protect system files after repair (Hosts file, etc.)
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


20.09.2005 12:48:52 - Scan started. (Custom mode)

Listing running processes


#:1 [smss.exe]
ModuleName : \SystemRoot\System32\smss.exe
Command Line : n/a
ProcessID : 156
ThreadCreationTime : 20.09.2005 11:46:54
BasePriority : Normal


#:2 [csrss.exe]
ModuleName : \??\C:\WINDOWS\system32\csrss.exe
Command Line : C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestTh
ProcessID : 204
ThreadCreationTime : 20.09.2005 11:46:58
BasePriority : Normal


#:3 [winlogon.exe]
ModuleName : \??\C:\WINDOWS\system32\winlogon.exe
Command Line : winlogon.exe
ProcessID : 228
ThreadCreationTime : 20.09.2005 11:47:00
BasePriority : High


#:4 [services.exe]
ModuleName : C:\WINDOWS\system32\services.exe
Command Line : C:\WINDOWS\system32\services.exe
ProcessID : 272
ThreadCreationTime : 20.09.2005 11:47:02
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Betriebssystem Microsoft Windows
CompanyName : Microsoft Corporation
FileDescription : Anwendung fr Dienste und Controller
InternalName : services.exe
LegalCopyright : Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
ModuleName : C:\WINDOWS\system32\lsass.exe
Command Line : C:\WINDOWS\system32\lsass.exe
ProcessID : 284
ThreadCreationTime : 20.09.2005 11:47:03
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft Windows Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k DcomLaunch
ProcessID : 420
ThreadCreationTime : 20.09.2005 11:47:07
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft Windows Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost -k rpcss
ProcessID : 480
ThreadCreationTime : 20.09.2005 11:47:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft Windows Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
ModuleName : C:\WINDOWS\system32\svchost.exe
Command Line : C:\WINDOWS\system32\svchost.exe -k netsvcs
ProcessID : 520
ThreadCreationTime : 20.09.2005 11:47:08
BasePriority : Normal
FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 5.1.2600.2180
ProductName : Microsoft Windows Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [explorer.exe]
ModuleName : C:\WINDOWS\Explorer.EXE
Command Line : C:\WINDOWS\Explorer.EXE
ProcessID : 756
ThreadCreationTime : 20.09.2005 11:47:12
BasePriority : Normal
FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
ProductVersion : 6.00.2900.2180
ProductName : Betriebssystem Microsoft Windows
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:10 [ad-aware.exe]
ModuleName : C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
Command Line : "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe"
ProcessID : 968
ThreadCreationTime : 20.09.2005 11:48:39
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

Memory scan result:

New critical objects: 0
Objects found so far: 0


Started registry scan


Registry Scan result:

New critical objects: 0
Objects found so far: 0


Started deep registry scan


Deep registry scan result:

New critical objects: 0
Objects found so far: 0

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\FCAOBAIX\recent
Description : list of recently opened documents


MRU List Object Recognized!
Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Description : list of recent documents opened



Started Tracking Cookie scan



Tracking cookie scan result:

New critical objects: 0
Objects found so far: 2



Deep scanning and examining files (C;)


SearchClick Object Recognized!
Type : File
Data :lwlde.dll
TAC Rating : 10
Category : Malware
Comment :
Object : C:\!Submit\



Disk Scan Result for C:\

New critical objects: 0
Objects found so far: 3


Deep scanning and examining files (D;)


Disk Scan Result for D:\

New critical objects: 0
Objects found so far: 3


Deep scanning and examining files (E;)


Disk Scan Result for E:\

New critical objects: 0
Objects found so far: 3


Performing conditional scans...


Conditional scan result:

New critical objects: 0
Objects found so far: 3

12:59:14 Scan Complete

Summary Of This Scan

Total scanning time:00:10:21.875
Objects scanned:148501
Objects identified:1
Objects ignored:0
New critical objects:1


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS\system32

19.09.2005 23:24 2.410 ROXECDC6Inst.log
19.09.2005 23:10 0 ievr.exe
19.09.2005 23:03 0 wineo.exe
19.09.2005 23:03 0 crob.exe

18.09.2005 23:44 2.550 Uninstall.ico
18.09.2005 23:44 1.406 Help.ico
18.09.2005 23:44 1.718 Open.ico
18.09.2005 23:44 1.406 AddQuit.ico
18.09.2005 23:44 5.350 IE.ico
18.09.2005 23:44 9.470 Desktop.ico
18.09.2005 23:44 1.718 Quick.ico
18.09.2005 03:32 2.206 wpa.dbl
12.09.2005 21:17 43.520 CmdLineExt03.dll
11.09.2005 02:55 0 javaki.exe
08.09.2005 13:00 197.756 larew.log
07.09.2005 23:11 0 ecblo.dll
07.09.2005 16:29 35.353 mslq.exe

27.08.2005 12:18 21.840 SIntfNT.dll
27.08.2005 12:18 17.212 SIntf32.dll
27.08.2005 12:18 12.067 SIntf16.dll
25.08.2005 17:42 248.696 FNTCACHE.DAT
11.08.2005 20:10 3.126 tempimg.tmp
11.08.2005 20:10 6.144 access.ctl
05.08.2005 21:05 516.096 ati2sgag.exe
04.08.2005 07:07 307.200 atiiiexx.dll
04.08.2005 06:27 249.856 ATIDEMGR.dll
04.08.2005 05:46 6.684.672 atioglx1.dll
04.08.2005 04:28 5.005.312 atioglxx.dll
04.08.2005 04:10 205.312 ati2dvag.dll
04.08.2005 04:04 106.496 atipdlxx.dll
04.08.2005 04:04 73.728 Oemdspif.dll
04.08.2005 04:04 25.088 Ati2mdxx.exe
04.08.2005 04:04 39.936 ati2edxx.dll
04.08.2005 04:04 46.080 ati2evxx.dll
04.08.2005 04:02 380.928 ati2evxx.exe
04.08.2005 04:02 53.248 ATIDDC.DLL
04.08.2005 03:54 2.365.472 ati3duag.dll
04.08.2005 03:47 639.872 ativvaxx.dll
04.08.2005 03:34 147.456 atikvmag.dll
04.08.2005 03:08 17.408 atitvo32.dll
04.08.2005 03:02 212.992 ati2cqag.dll
29.07.2005 21:07 73.728 asuninst.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp

20.09.2005 13:28 16.384 Perflib_Perfdata_7a0.dat
20.09.2005 13:28 16.384 Perflib_Perfdata_1e0.dat
20.09.2005 13:26 179 kb.log
20.09.2005 13:23 16.384 ~DF899D.tmp
20.09.2005 13:18 2.550 1.tmp
16.09.2005 18:40 102 8A56EAB7.TMP
6 Datei(en) 51.983 Bytes
0 Verzeichnis(se), 3.152.502.784 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\WINDOWS

20.09.2005 13:28 0 0.log
20.09.2005 13:28 4.849 WindowsUpdate.log
20.09.2005 13:27 2.048 bootstat.dat
20.09.2005 13:26 452 SchedLgU.Txt
20.09.2005 13:18 0 Sti_Trace.log
20.09.2005 13:02 170 ntbtlog.txt
19.09.2005 23:18 10 WININIT.INI
19.09.2005 22:59 65.978 Seifenblase.bmp
19.09.2005 22:59 1.405 msdfmap.ini
19.09.2005 22:59 1.208 mgxoschk.ini
19.09.2005 22:59 16.730 Feder.bmp
19.09.2005 22:59 146 CleaningLab.INI
18.09.2005 14:53 748 win.ini
17.09.2005 21:15 256 system.ini
17.09.2005 17:41 192 winamp.ini
14.09.2005 14:35 578 M3JPEG.INI
14.09.2005 11:22 707 _default.pif
14.09.2005 11:00 299.552 WMSysPrx.prx
14.09.2005 11:00 0 muma2003.INI
14.09.2005 10:39 4.161 ODBCINST.INI
14.09.2005 10:39 86 NeroDigital.ini
10.09.2005 01:56 84.545 crsd.dll
08.09.2005 14:48 13.581 uecbl.txt
07.09.2005 16:58 11.801 ntat.exe

07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp
07.09.2005 00:02 0 lfazz.dll
04.09.2005 00:06 141 AVMASTER.INI
28.08.2005 19:26 246 musicmaker.INI
28.08.2005 12:23 93.696 Blue Girl.scr
27.08.2005 12:20 33.057 DIIUnin.dat
27.08.2005 12:08 2.829 DIIUnin.pif
27.08.2005 12:08 102.400 DIIUnin.exe
26.08.2005 21:10 11.801 appog.exe
25.08.2005 17:42 0 syscf.exe
24.08.2005 04:26 197.756 bklag.dat
24.08.2005 03:14 3.567 ukdgj.txt
24.08.2005 00:02 3.567 ougnu.txt

23.08.2005 17:50 0 technomaker.INI
22.08.2005 21:08 17.062 Kaffeetasse.bmp
21.08.2005 07:18 133 MusicEditor.INI
21.08.2005 00:45 32 pavsig.txt
18.08.2005 19:25 360 BeatBox.INI
11.08.2005 20:09 316.640 WMSysPr9.prx
21.07.2005 22:58 67 A1 DVD Ripper.INI
19.07.2005 13:48 9.216 Hooksdll.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A857-BDE2

Verzeichnis von C:\

20.09.2005 13:33 0 sys.txt
20.09.2005 13:33 4.874 system.txt
20.09.2005 13:33 556 systemtemp.txt
20.09.2005 13:33 105.098 system32.txt
20.09.2005 13:27 805.306.368 pagefile.sys
19.09.2005 17:16 795.484 reclock_log.txt
19.09.2005 15:33 675 smitfiles.txt
18.09.2005 15:26 190 file.txt
17.09.2005 21:15 211 boot.ini
27.07.2005 22:37 2.626 runthis.bat
09.12.2003 01:31 11.254 locate.com
18.08.2001 13:00 4.952 bootfont.bin
24.06.2001 00:59 211 BOOT.BKK
24.06.2001 00:49 47.564 NTDETECT.COM
24.06.2001 00:49 251.184 ntldr
23.06.2001 23:11 0 IO.SYS
23.06.2001 23:11 0 MSDOS.SYS
23.06.2001 23:11 0 AUTOEXEC.BAT
23.06.2001 23:11 0 CONFIG.SYS
19 Datei(en) 806.531.247 Bytes
0 Verzeichnis(se), 3.152.494.592 Bytes frei



Logfile of HijackThis v1.99.1
Scan saved at 13:34:43, on 20.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\ntat.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\mslq.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll
O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe
O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe
O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [mslq.exe] C:\WINDOWS\system32\mslq.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\RunOnce: [ntat.exe] C:\WINDOWS\ntat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Network Security Service (NSS) ( 11F#`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
__________
Wer Fehler findet darf sie behalten ;)
Seitenanfang Seitenende
20.09.2005, 16:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 CCleaner--> loesche alle *temp-Datein (immer wieder machen )
http://virus-protect.org/temp.html

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

11F#`I

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bsartiges skript entdeckt --> ignorieren

loesche mit der Killbox:


C:\WINDOWS\d3as.exe
C:\WINDOWS\system32\ievr.exe
C:\WINDOWS\system32\wineo.exe
C:\WINDOWS\system32\crob.exe
C:\WINDOWS\system32\javaki.exe
C:\WINDOWS\system32\ecblo.dll
C:\WINDOWS\system32\mslq.exe
C:\WINDOWS\apimc32.exe
C:\WINDOWS\addxd32.exe
C:\WINDOWS\d3tq32.exe
C:\WINDOWS\ntat.exe
C:\WINDOWS\system32\apicd.dll
C:\WINDOWS\crsd.dll
C:\WINDOWS\lfazz.dll
C:\WINDOWS\system32\appog.exe
C:\WINDOWS\system32\syscf.exe
C:\WINDOWS\system32\bklag.dat
C:\WINDOWS\system32\ukdgj.txt
C:\WINDOWS\system32\ougnu.txt

PC neustarten

#ffne das HijackThis-->> Button "scan" -->> Hkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll
O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing)

O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe
O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe
O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe
O4 - HKLM\..\Run: [mslq.exe] C:\WINDOWS\system32\mslq.exe
O4 - HKLM\..\RunOnce: [ntat.exe] C:\WINDOWS\ntat.exe
O23 - Service: Network Security Service (NSS) ( 11F#`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing)

PC neustarten

Zitat

lade und scanne:
sphjfix107.zip (30.71 KB - runtergeladen 21 Mal.)
http://www.hwe-forum.de/index.php/topic,4847.msg75029.html
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporre Internetdateien klickst du Dateien lschen --> auch bei Alle Offlineinhalte lschen das Hkchen setzen und mit OK besttigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurcksetzen klicken, mit Ja besttigen, fall Nachfrage kommt --> auf bernehmen und abschlieend auf OK klicken und stelle eine neue Startseite ein

scanne mit ewido (poste mir den Scanreport)und mit aboutbuster
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2005, 16:15
Member

Themenstarter

Beiträge: 43
#28 so heir schon mal die reg

und ich lsche nun die killbox daten dauert aber noch einen augenblick





REGEDIT4
; RegSrch.vbs Bill James

; Registry search results for string "11F#`I" 20.09.2005 16:15:51

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11F#`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11F#`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I\Enum]
__________
Wer Fehler findet darf sie behalten ;)
Seitenanfang Seitenende
20.09.2005, 16:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 kopiere das alles ab (in deinen Texteditor), abspeichern (alle Dateien) als weg.reg (unter Desktop abspeichern)
Dann er erscheint die weg.reg auf dem Desktop.
Boote in den abgesicherten modus und fuege die weg.reg der Registry bei.
Dann ueberpruefe noch mal im Normalmodus, ob die Eintraege weg sind ( Registry Search Tool)



Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11F#`I\Enum]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11F#`I]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11F#`I\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I\Security]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11F#`I\Enum]

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2005, 16:36
Member

Themenstarter

Beiträge: 43
#30 edit: Ich scanne nun mit ewido dauert ein wenig


so hier bitte schn ;)


REGEDIT4
; RegSrch.vbs Bill James

; Registry search results for string "11F#`I" 20.09.2005 16:45:29

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11F#`I"
__________
Wer Fehler findet darf sie behalten ;)
Dieser Beitrag wurde am 20.09.2005 um 16:57 Uhr von coaxi editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: