(Might be at risk) anderer Virus ? |
||
---|---|---|
#0
| ||
19.09.2005, 17:19
Ehrenmitglied
Beiträge: 29434 |
||
|
||
19.09.2005, 17:24
Member
Themenstarter Beiträge: 43 |
#17
wie den antivirus deinstallieren o_O
AntiVir Guard?? brauchst du noch die system32 ? __________ Wer Fehler findet darf sie behalten |
|
|
||
19.09.2005, 17:28
Ehrenmitglied
Beiträge: 29434 |
#18
ja, poste die Dateien und deinstalliere den Antivirus, sonst wird das System mit dem Kaspersky zu lahm.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2005, 17:33
Member
Themenstarter Beiträge: 43 |
#19
License key ??!?!?!
dadurch das ich AvAntiVirus Guard deinstalliert habe neuer Virus.... weil Kaspersky nicht aktiviert ist.... ..alles nochmal von vorne ? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\WINDOWS\system32 19.09.2005 17:09 12.410 apicu.exe 19.09.2005 14:32 0 bcoko.txt 19.09.2005 08:39 66.560 lwlde.dll 19.09.2005 05:35 13.581 jjanm.txt 18.09.2005 23:44 0 asfiles.txt 18.09.2005 23:44 2.550 Uninstall.ico 18.09.2005 23:44 1.406 Help.ico 18.09.2005 23:44 1.718 Open.ico 18.09.2005 23:44 1.406 AddQuit.ico 18.09.2005 23:44 5.350 IE.ico 18.09.2005 23:44 9.470 Desktop.ico 18.09.2005 23:44 1.718 Quick.ico 18.09.2005 03:32 2.206 wpa.dbl 12.09.2005 21:17 43.520 CmdLineExt03.dll 08.09.2005 13:00 197.756 larew.log 27.08.2005 12:18 21.840 SIntfNT.dll 27.08.2005 12:18 17.212 SIntf32.dll 27.08.2005 12:18 12.067 SIntf16.dll 25.08.2005 17:42 248.696 FNTCACHE.DAT 24.08.2005 01:20 11.801 sysjw32.exe 23.08.2005 16:15 11.801 winky.exe 11.08.2005 20:10 3.126 tempimg.tmp ???? 11.08.2005 20:10 6.144 access.ctl 29.07.2005 21:07 73.728 asuninst.exe __________ Wer Fehler findet darf sie behalten Dieser Beitrag wurde am 19.09.2005 um 17:37 Uhr von coaxi editiert.
|
|
|
||
19.09.2005, 17:44
Ehrenmitglied
Beiträge: 29434 |
#20
dann deinstalliere ihn wieder und lade eine Trialversion (die ist 15 Tage free)
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2005, 17:46
Ehrenmitglied
Beiträge: 29434 |
#21
loeschen:
C:\WINDOWS\system32\apicu.exe C:\WINDOWS\system32\bcoko.txt C:\WINDOWS\system32\lwlde.dll C:\WINDOWS\system32\jjanm.txt C:\WINDOWS\system32\asfiles.txt C:\WINDOWS\system32\sysjw32.exe C:\WINDOWS\system32\winky.exe dann noch mal alle 4 logs, aber nur die letzten 3 Wochen, die Daten von 2001 brauche ich nicht. (bis Mitte August) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2005, 23:08
Member
Themenstarter Beiträge: 43 |
#22
Kaspersky hat einige dateien entdeckt die ich nicht löschen konnte aber ich weiß nicht ob es alle waren ich poste mal die 4 logs von datfind und dann noch von Hijackthis
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\WINDOWS\system32 19.09.2005 23:03 0 wineo.exe 19.09.2005 23:03 0 crob.exe 18.09.2005 23:44 2.550 Uninstall.ico 18.09.2005 23:44 1.406 Help.ico 18.09.2005 23:44 1.718 Open.ico 18.09.2005 23:44 1.406 AddQuit.ico 18.09.2005 23:44 5.350 IE.ico 18.09.2005 23:44 9.470 Desktop.ico 18.09.2005 23:44 1.718 Quick.ico 18.09.2005 03:32 2.206 wpa.dbl 12.09.2005 21:17 43.520 CmdLineExt03.dll 11.09.2005 02:55 0 javaki.exe 08.09.2005 13:00 197.756 larew.log 07.09.2005 06:42 66.560 ecblo.dll 27.08.2005 12:18 21.840 SIntfNT.dll 27.08.2005 12:18 17.212 SIntf32.dll 27.08.2005 12:18 12.067 SIntf16.dll 25.08.2005 17:42 248.696 FNTCACHE.DAT 11.08.2005 20:10 3.126 tempimg.tmp 11.08.2005 20:10 6.144 access.ctl 29.07.2005 21:07 73.728 asuninst.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp 19.09.2005 18:20 2.243 kb.log 19.09.2005 16:41 16.384 ~DFE934.tmp 19.09.2005 16:33 9.553 temp.frA77A 19.09.2005 16:21 16.384 ~DFD57.tmp 19.09.2005 15:51 2.550 17C.tmp 5 Datei(en) 47.114 Bytes 0 Verzeichnis(se), 2.820.636.672 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\WINDOWS 19.09.2005 23:02 0 0.log 19.09.2005 23:02 348.085 WindowsUpdate.log 19.09.2005 23:01 2.048 bootstat.dat 19.09.2005 23:00 14.524 SchedLgU.Txt 19.09.2005 22:59 65.978 Seifenblase.bmp 19.09.2005 22:59 86 NeroDigital.ini 19.09.2005 22:59 1.405 msdfmap.ini 19.09.2005 22:59 1.208 mgxoschk.ini 19.09.2005 22:59 16.730 Feder.bmp 19.09.2005 22:59 146 CleaningLab.INI 19.09.2005 17:32 411.998 ntbtlog.txt 19.09.2005 15:42 3.709 setupapi.log 19.09.2005 15:35 180 setupact.log 19.09.2005 15:33 0 setuperr.log 18.09.2005 22:35 0 Sti_Trace.log 18.09.2005 14:53 748 win.ini 17.09.2005 21:15 256 system.ini 17.09.2005 17:41 192 winamp.ini 14.09.2005 14:35 578 M3JPEG.INI 14.09.2005 14:26 141 AVMASTER.INI 14.09.2005 14:26 707 _default.pif 10.09.2005 01:56 84.545 crsd.dll 08.09.2005 14:48 13.581 uecbl.txt 07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp 07.09.2005 00:02 0 lfazz.dll 31.08.2005 10:45 0 muma2003.INI 28.08.2005 19:26 246 musicmaker.INI 28.08.2005 12:23 93.696 Blue Girl.scr 27.08.2005 12:20 33.057 DIIUnin.dat 27.08.2005 12:08 2.829 DIIUnin.pif 27.08.2005 12:08 102.400 DIIUnin.exe 25.08.2005 17:42 0 syscf.exe 24.08.2005 04:26 197.756 bklag.dat 24.08.2005 03:14 3.567 ukdgj.txt 24.08.2005 00:02 3.567 ougnu.txt 23.08.2005 17:50 0 technomaker.INI 22.08.2005 21:08 17.062 Kaffeetasse.bmp 21.08.2005 07:18 133 MusicEditor.INI 21.08.2005 00:45 32 pavsig.txt 18.08.2005 19:25 360 BeatBox.INI 11.08.2005 20:09 316.640 WMSysPr9.prx Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\ 19.09.2005 23:05 0 sys.txt 19.09.2005 23:05 4.882 system.txt 19.09.2005 23:05 481 systemtemp.txt 19.09.2005 23:05 106.109 system32.txt 19.09.2005 23:01 805.306.368 pagefile.sys 19.09.2005 17:16 795.484 reclock_log.txt 19.09.2005 15:33 675 smitfiles.txt 18.09.2005 15:26 190 file.txt 17.09.2005 21:15 211 boot.ini 27.07.2005 22:37 2.626 runthis.bat 09.12.2003 01:31 11.254 locate.com 18.08.2001 13:00 4.952 bootfont.bin 24.06.2001 00:59 211 BOOT.BKK 24.06.2001 00:49 47.564 NTDETECT.COM 24.06.2001 00:49 251.184 ntldr 23.06.2001 23:11 0 IO.SYS 23.06.2001 23:11 0 MSDOS.SYS 23.06.2001 23:11 0 AUTOEXEC.BAT 23.06.2001 23:11 0 CONFIG.SYS 19 Datei(en) 806.532.191 Bytes 0 Verzeichnis(se), 2.820.636.672 Bytes frei Logfile of HijackThis v1.99.1 Scan saved at 23:08:49, on 19.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\Playlist.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing) O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [RoxioAudioCentral] "C:\Programme\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe" O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe __________ Wer Fehler findet darf sie behalten |
|
|
||
19.09.2005, 23:44
Ehrenmitglied
Beiträge: 29434 |
#23
es hat keinen Sinn, der PC ist hoffnungslos verseucht und keine Virenscanner loeschen die Rootkits in den Streams.
Ich hatte die Hoffnung, dass der Kasperskyscanner alles im abgesicherten modus loescht...aber nein. Dir bleibt nur formatieren, es tut mir leid..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2005, 09:07
Member
Themenstarter Beiträge: 43 |
#24
*Hiobsbotschaft*
aber danke für deine Hilfe Ich habe gestern abend noch ein paar Programme gelöscht (deinstalliert) und nochmal den Kaspersky im abgesicherten modus laufen lassen leider habe ich heute morgen verschlafen das ich hals über kopf zur arbeit musste und nicht mehr schauen kann was er noch gefunden hat. Wen nich wieder zu Hause bin räume ich den Pc noch ein bischen weiter auf. Meine Frage dazu ist noch was ein guter regcleaner ist und ob es überhaupt was bringt das ich ihn ein bischen aufräume. Um dann den Virus zu löschen. Kann sich der einer oder andere Virus durch einen noch anderen Virus installieren? Also ich habe ja bei der bisherigen beseitung trotzdem ein PopUp Virus gehabt und kann dieser PopUp Virus den anderen Virus als aktion installieren ? Desweiteren ist imemrhin der Desktop Hintergrund wieder veränderbar. Die IE Starseite wird leider durch diesen PopUp Virus (oder wie man den auch nennen mag) wieder auf about blank gesetzt. Ich habe mir einfach mal den Quelltext angeschaut doch die Java script Zeile ist ??verschlüsselt?? oder eine >200ZeichenParameter Befehls Zeile __________ Wer Fehler findet darf sie behalten |
|
|
||
20.09.2005, 11:02
Ehrenmitglied
Beiträge: 29434 |
#25
es ist so: du hattest zwei verschiedene Viren/Trojaner, der eine hat den Desktop blockkiert, das haben wir leicht in Ordnung bringen koennen.
Der andere, der Startseitentrojaner zeichnet alle deine Aktivitaeten im Net auf, (Passworte usw) und generiert sich immer wieder neu, weil er sich in den Steams eingenistet hat und dazu noch in Dateien, die zu windows gehoeren....du merkst das nur am about blank, aber die dll, uebermittelt alles. Zitat Search Bar = res://C:\WINDOWS\system32\wkgqa.dll/sp.html#63796 Zitat Der AboutBuster hat einige erkannt und geloescht, der Kaspersky auch, aber wie es scheint, erkennen die Virenscanner nicht alle.---------------------------------------------------------------------------------- Da wird dir auch ein RegCleaner nicht weiterhelfen koennen. Dazu ist ein Dienst erstellt und aktiv, da du mir nie die Registryeintraege gepostet hast, konnten wir den auch nicht loeschen. Zitat O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apiol32.exeNun generiert der Trojaner immer wieder neue Dateien, wie du gut am Datfindbat sehen kannst. Zitat 12.09.2005 14:46 11.801 addbw32.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2005, 13:33
Member
Themenstarter Beiträge: 43 |
#26
So ich habe einfach mal ein paar dateien gelöscht nochmal ein paar logs
diese ecblo.dll habe ich gelöscht AboutBuster 5.0 reference file 28 Scan started on [20.09.2005] at [12:48:01] ------------------------------------------------ Removed Stream! C:\WINDOWS\AVMASTER.INI:esqpty Removed Stream! C:\WINDOWS\ODBC.INI:chcqdr Removed Stream! C:\WINDOWS\Seifenblase.bmp:kyhtb Removed Stream! C:\WINDOWS\_default.pif:ngpcbh ------------------------------------------------ Removed File! : C:\Windows\System32\ecblo.dll ------------------------------------------------ Scan was COMPLETED SUCCESSFULLY at 12:48:23 "Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"] "RemoteControl" = "e:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."] "apimc32.exe" = "C:\WINDOWS\apimc32.exe" [file not found] "addxd32.exe" = "C:\WINDOWS\addxd32.exe" [file not found] "d3tq32.exe" = "C:\WINDOWS\d3tq32.exe" [file not found] "KAVPersonal50" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"] "mslq.exe" = "C:\WINDOWS\system32\mslq.exe" [null data] "ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ntat.exe" = "C:\WINDOWS\ntat.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {1BB06227-02D6-8AE4-475A-58D02CC66F9A}\(Default) = "Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\crsd.dll" [null data] {F8E930CE-BAB0-9603-5678-E35F00904295}\(Default) = "Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\apicd.dll" [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "AutoCAD Digital Signatures Icon Overlay Handler" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"] "{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"] "{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "FCAOBAIX" & "All Users" startup folders: ---------------------------------------------------------- C:\Dokumente und Einstellungen\FCAOBAIX\Startmenü\Programme\Autostart "Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader Speed Launch" -> shortcut to: "E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "ATI CATALYST System Tray" -> shortcut to: "C:\Programme\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data] "AutoCAD Startup Accelerator" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe" [null data] "InterVideo WinCinema Manager" -> shortcut to: "E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe" ["InterVideo Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}): --------------------------------------------------------------------------- INFECTION WARNING! The running services cannot be counted. Presence of a spyware service is suspected. The script has been forced to exit. ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 51 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 16 seconds. ---------- (total run time: 89 seconds) Ad-Aware SE Build 1.06r1 Logfile Created onienstag, 20. September 2005 12:48:52 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R66 14.09.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):2 total references SearchClick(TAC index:10):1 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Definition File: ========================= Definitions File Loaded: Reference Number : SE1R66 14.09.2005 Internal build : 77 File location : C:\Programme\Lavasoft\Ad-Aware SE Personal\defs.ref File size : 522778 Bytes Total size : 1570907 Bytes Signature data size : 1537712 Bytes Reference data size : 32683 Bytes Signatures total : 43686 CSI Fingerprints total : 1045 CSI data size : 37239 Bytes Target categories : 15 Target families : 746 Memory + processor status: ========================== Number of processors : 1 Processor architecture : Intel Pentium III Memory available:75 % Total physical memory:523760 kb Available physical memory:390536 kb Total page file size:1280092 kb Available on page file:1212572 kb Total virtual memory:2097024 kb Available virtual memory:2048252 kb OS:Microsoft Windows XP Professional Service Pack 2 (Build 2600) Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan within archives Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Obtain command line of scanned processes Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Write-protect system files after repair (Hosts file, etc.) Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 20.09.2005 12:48:52 - Scan started. (Custom mode) Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] ModuleName : \SystemRoot\System32\smss.exe Command Line : n/a ProcessID : 156 ThreadCreationTime : 20.09.2005 11:46:54 BasePriority : Normal #:2 [csrss.exe] ModuleName : \??\C:\WINDOWS\system32\csrss.exe Command Line : C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestTh ProcessID : 204 ThreadCreationTime : 20.09.2005 11:46:58 BasePriority : Normal #:3 [winlogon.exe] ModuleName : \??\C:\WINDOWS\system32\winlogon.exe Command Line : winlogon.exe ProcessID : 228 ThreadCreationTime : 20.09.2005 11:47:00 BasePriority : High #:4 [services.exe] ModuleName : C:\WINDOWS\system32\services.exe Command Line : C:\WINDOWS\system32\services.exe ProcessID : 272 ThreadCreationTime : 20.09.2005 11:47:02 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] ModuleName : C:\WINDOWS\system32\lsass.exe Command Line : C:\WINDOWS\system32\lsass.exe ProcessID : 284 ThreadCreationTime : 20.09.2005 11:47:03 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] ModuleName : C:\WINDOWS\system32\svchost.exe Command Line : C:\WINDOWS\system32\svchost -k DcomLaunch ProcessID : 420 ThreadCreationTime : 20.09.2005 11:47:07 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] ModuleName : C:\WINDOWS\system32\svchost.exe Command Line : C:\WINDOWS\system32\svchost -k rpcss ProcessID : 480 ThreadCreationTime : 20.09.2005 11:47:08 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] ModuleName : C:\WINDOWS\system32\svchost.exe Command Line : C:\WINDOWS\system32\svchost.exe -k netsvcs ProcessID : 520 ThreadCreationTime : 20.09.2005 11:47:08 BasePriority : Normal FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 5.1.2600.2180 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [explorer.exe] ModuleName : C:\WINDOWS\Explorer.EXE Command Line : C:\WINDOWS\Explorer.EXE ProcessID : 756 ThreadCreationTime : 20.09.2005 11:47:12 BasePriority : Normal FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) ProductVersion : 6.00.2900.2180 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:10 [ad-aware.exe] ModuleName : C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe Command Line : "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" ProcessID : 968 ThreadCreationTime : 20.09.2005 11:48:39 BasePriority : Normal FileVersion : 6.2.0.236 ProductVersion : SE 106 ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft AB Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\FCAOBAIX\recent Description : list of recently opened documents MRU List Object Recognized! Location: : S-1-5-21-682003330-1500820517-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 2 Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» SearchClick Object Recognized! Type : File Data :lwlde.dll TAC Rating : 10 Category : Malware Comment : Object : C:\!Submit\ Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Deep scanning and examining files (D »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for D:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Deep scanning and examining files (E »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for E:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 3 12:59:14 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:10:21.875 Objects scanned:148501 Objects identified:1 Objects ignored:0 New critical objects:1 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\WINDOWS\system32 19.09.2005 23:24 2.410 ROXECDC6Inst.log 19.09.2005 23:10 0 ievr.exe 19.09.2005 23:03 0 wineo.exe 19.09.2005 23:03 0 crob.exe 18.09.2005 23:44 2.550 Uninstall.ico 18.09.2005 23:44 1.406 Help.ico 18.09.2005 23:44 1.718 Open.ico 18.09.2005 23:44 1.406 AddQuit.ico 18.09.2005 23:44 5.350 IE.ico 18.09.2005 23:44 9.470 Desktop.ico 18.09.2005 23:44 1.718 Quick.ico 18.09.2005 03:32 2.206 wpa.dbl 12.09.2005 21:17 43.520 CmdLineExt03.dll 11.09.2005 02:55 0 javaki.exe 08.09.2005 13:00 197.756 larew.log 07.09.2005 23:11 0 ecblo.dll 07.09.2005 16:29 35.353 mslq.exe 27.08.2005 12:18 21.840 SIntfNT.dll 27.08.2005 12:18 17.212 SIntf32.dll 27.08.2005 12:18 12.067 SIntf16.dll 25.08.2005 17:42 248.696 FNTCACHE.DAT 11.08.2005 20:10 3.126 tempimg.tmp 11.08.2005 20:10 6.144 access.ctl 05.08.2005 21:05 516.096 ati2sgag.exe 04.08.2005 07:07 307.200 atiiiexx.dll 04.08.2005 06:27 249.856 ATIDEMGR.dll 04.08.2005 05:46 6.684.672 atioglx1.dll 04.08.2005 04:28 5.005.312 atioglxx.dll 04.08.2005 04:10 205.312 ati2dvag.dll 04.08.2005 04:04 106.496 atipdlxx.dll 04.08.2005 04:04 73.728 Oemdspif.dll 04.08.2005 04:04 25.088 Ati2mdxx.exe 04.08.2005 04:04 39.936 ati2edxx.dll 04.08.2005 04:04 46.080 ati2evxx.dll 04.08.2005 04:02 380.928 ati2evxx.exe 04.08.2005 04:02 53.248 ATIDDC.DLL 04.08.2005 03:54 2.365.472 ati3duag.dll 04.08.2005 03:47 639.872 ativvaxx.dll 04.08.2005 03:34 147.456 atikvmag.dll 04.08.2005 03:08 17.408 atitvo32.dll 04.08.2005 03:02 212.992 ati2cqag.dll 29.07.2005 21:07 73.728 asuninst.exe Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\DOKUME~1\FCAOBAIX\LOKALE~1\Temp 20.09.2005 13:28 16.384 Perflib_Perfdata_7a0.dat 20.09.2005 13:28 16.384 Perflib_Perfdata_1e0.dat 20.09.2005 13:26 179 kb.log 20.09.2005 13:23 16.384 ~DF899D.tmp 20.09.2005 13:18 2.550 1.tmp 16.09.2005 18:40 102 8A56EAB7.TMP 6 Datei(en) 51.983 Bytes 0 Verzeichnis(se), 3.152.502.784 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\WINDOWS 20.09.2005 13:28 0 0.log 20.09.2005 13:28 4.849 WindowsUpdate.log 20.09.2005 13:27 2.048 bootstat.dat 20.09.2005 13:26 452 SchedLgU.Txt 20.09.2005 13:18 0 Sti_Trace.log 20.09.2005 13:02 170 ntbtlog.txt 19.09.2005 23:18 10 WININIT.INI 19.09.2005 22:59 65.978 Seifenblase.bmp 19.09.2005 22:59 1.405 msdfmap.ini 19.09.2005 22:59 1.208 mgxoschk.ini 19.09.2005 22:59 16.730 Feder.bmp 19.09.2005 22:59 146 CleaningLab.INI 18.09.2005 14:53 748 win.ini 17.09.2005 21:15 256 system.ini 17.09.2005 17:41 192 winamp.ini 14.09.2005 14:35 578 M3JPEG.INI 14.09.2005 11:22 707 _default.pif 14.09.2005 11:00 299.552 WMSysPrx.prx 14.09.2005 11:00 0 muma2003.INI 14.09.2005 10:39 4.161 ODBCINST.INI 14.09.2005 10:39 86 NeroDigital.ini 10.09.2005 01:56 84.545 crsd.dll 08.09.2005 14:48 13.581 uecbl.txt 07.09.2005 16:58 11.801 ntat.exe 07.09.2005 00:08 1.272 Blaue Spitzen 16.bmp 07.09.2005 00:02 0 lfazz.dll 04.09.2005 00:06 141 AVMASTER.INI 28.08.2005 19:26 246 musicmaker.INI 28.08.2005 12:23 93.696 Blue Girl.scr 27.08.2005 12:20 33.057 DIIUnin.dat 27.08.2005 12:08 2.829 DIIUnin.pif 27.08.2005 12:08 102.400 DIIUnin.exe 26.08.2005 21:10 11.801 appog.exe 25.08.2005 17:42 0 syscf.exe 24.08.2005 04:26 197.756 bklag.dat 24.08.2005 03:14 3.567 ukdgj.txt 24.08.2005 00:02 3.567 ougnu.txt 23.08.2005 17:50 0 technomaker.INI 22.08.2005 21:08 17.062 Kaffeetasse.bmp 21.08.2005 07:18 133 MusicEditor.INI 21.08.2005 00:45 32 pavsig.txt 18.08.2005 19:25 360 BeatBox.INI 11.08.2005 20:09 316.640 WMSysPr9.prx 21.07.2005 22:58 67 A1 DVD Ripper.INI 19.07.2005 13:48 9.216 Hooksdll.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A857-BDE2 Verzeichnis von C:\ 20.09.2005 13:33 0 sys.txt 20.09.2005 13:33 4.874 system.txt 20.09.2005 13:33 556 systemtemp.txt 20.09.2005 13:33 105.098 system32.txt 20.09.2005 13:27 805.306.368 pagefile.sys 19.09.2005 17:16 795.484 reclock_log.txt 19.09.2005 15:33 675 smitfiles.txt 18.09.2005 15:26 190 file.txt 17.09.2005 21:15 211 boot.ini 27.07.2005 22:37 2.626 runthis.bat 09.12.2003 01:31 11.254 locate.com 18.08.2001 13:00 4.952 bootfont.bin 24.06.2001 00:59 211 BOOT.BKK 24.06.2001 00:49 47.564 NTDETECT.COM 24.06.2001 00:49 251.184 ntldr 23.06.2001 23:11 0 IO.SYS 23.06.2001 23:11 0 MSDOS.SYS 23.06.2001 23:11 0 AUTOEXEC.BAT 23.06.2001 23:11 0 CONFIG.SYS 19 Datei(en) 806.531.247 Bytes 0 Verzeichnis(se), 3.152.494.592 Bytes frei Logfile of HijackThis v1.99.1 Scan saved at 13:34:43, on 20.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\ntat.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Winamp\winampa.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe E:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\mslq.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\FCAOBAIX\Eigene Dateien\Neuer Ordner\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing) O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [mslq.exe] C:\WINDOWS\system32\mslq.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\RunOnce: [ntat.exe] C:\WINDOWS\ntat.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?993336018607 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe __________ Wer Fehler findet darf sie behalten |
|
|
||
20.09.2005, 16:00
Ehrenmitglied
Beiträge: 29434 |
#27
CCleaner--> loesche alle *temp-Datein (immer wieder machen )
http://virus-protect.org/temp.html •Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs reinkopieren: 11Fßä#·ºÄÖ`I Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Meldung (Symantec)-- warnmeldung:bösartiges skript entdeckt --> ignorieren loesche mit der Killbox: C:\WINDOWS\d3as.exe C:\WINDOWS\system32\ievr.exe C:\WINDOWS\system32\wineo.exe C:\WINDOWS\system32\crob.exe C:\WINDOWS\system32\javaki.exe C:\WINDOWS\system32\ecblo.dll C:\WINDOWS\system32\mslq.exe C:\WINDOWS\apimc32.exe C:\WINDOWS\addxd32.exe C:\WINDOWS\d3tq32.exe C:\WINDOWS\ntat.exe C:\WINDOWS\system32\apicd.dll C:\WINDOWS\crsd.dll C:\WINDOWS\lfazz.dll C:\WINDOWS\system32\appog.exe C:\WINDOWS\system32\syscf.exe C:\WINDOWS\system32\bklag.dat C:\WINDOWS\system32\ukdgj.txt C:\WINDOWS\system32\ougnu.txt PC neustarten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ecblo.dll/sp.html#63796 R3 - Default URLSearchHook is missing O2 - BHO: Class - {1BB06227-02D6-8AE4-475A-58D02CC66F9A} - C:\WINDOWS\crsd.dll O2 - BHO: Class - {F8E930CE-BAB0-9603-5678-E35F00904295} - C:\WINDOWS\system32\apicd.dll (file missing) O4 - HKLM\..\Run: [apimc32.exe] C:\WINDOWS\apimc32.exe O4 - HKLM\..\Run: [addxd32.exe] C:\WINDOWS\addxd32.exe O4 - HKLM\..\Run: [d3tq32.exe] C:\WINDOWS\d3tq32.exe O4 - HKLM\..\Run: [mslq.exe] C:\WINDOWS\system32\mslq.exe O4 - HKLM\..\RunOnce: [ntat.exe] C:\WINDOWS\ntat.exe O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\d3as.exe (file missing) PC neustarten Zitat lade und scanne:#neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein scanne mit ewido (poste mir den Scanreport)und mit aboutbuster http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2005, 16:15
Member
Themenstarter Beiträge: 43 |
#28
so heir schon mal die reg
und ich lösche nun die killbox daten dauert aber noch einen augenblick REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 20.09.2005 16:15:51 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum] __________ Wer Fehler findet darf sie behalten |
|
|
||
20.09.2005, 16:31
Ehrenmitglied
Beiträge: 29434 |
#29
kopiere das alles ab (in deinen Texteditor), abspeichern (alle Dateien) als weg.reg (unter Desktop abspeichern)
Dann er erscheint die weg.reg auf dem Desktop. Boote in den abgesicherten modus und fuege die weg.reg der Registry bei. Dann ueberpruefe noch mal im Normalmodus, ob die Eintraege weg sind ( Registry Search Tool) Zitat REGEDIT4 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2005, 16:36
Member
Themenstarter Beiträge: 43 |
#30
edit: Ich scanne nun mit ewido dauert ein wenig
so hier bitte schön REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "11Fßä#·ºÄÖ`I" 20.09.2005 16:45:29 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000] "Service"=" 11Fßä#·ºÄÖ`I" __________ Wer Fehler findet darf sie behalten Dieser Beitrag wurde am 20.09.2005 um 16:57 Uhr von coaxi editiert.
|
|
|
||
dann deinstalliere den Antivirus und lade:
Kaspersky Anti-Virus 5.0.388 (Deutsch, 2. September 2005)
http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/
scanne im abgesicherten modus und poste den Scanreport
__________
MfG Sabina
rund um die PC-Sicherheit