TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
21.09.2005, 16:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 ja, aber es sind 4 !!!!!! Logs

du musst das so verstehen, ich sehe mit diesen Logs, alles was auf dem PC ist....
Also brauche ich die

C.\Windows\System32\
C:\Windows\
C:\Windows\temp.....
C:\

Zitat

das machst du 4 Mal
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 17:09
Member

Themenstarter

Beiträge: 16
#17 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS\system32

21.09.2005 07:45 238 vsconfig.xml
21.09.2005 06:23 21.828 nvapps.xml
21.09.2005 06:23 23.719 FFASTLOG.TXT
15.09.2005 07:18 2.184 wpa.dbl
07.09.2005 12:47 2.550 Uninstall.ico
07.09.2005 12:47 1.406 Help.ico
07.09.2005 12:47 1.718 Open.ico
07.09.2005 12:47 1.406 AddQuit.ico
07.09.2005 12:47 5.350 IE.ico
07.09.2005 12:47 9.470 Desktop.ico
07.09.2005 12:46 1.718 Quick.ico
07.09.2005 11:24 0 asfiles.txt
28.08.2005 15:14 705 msexnpfi.exe
09.08.2005 22:41 13.581 hnocc.txt
29.07.2005 21:07 73.728 asuninst.exe
05.07.2005 10:57 335.872 mgxoschk.dll
03.07.2005 17:49 21.840 SIntfNT.dll
03.07.2005 17:49 17.212 SIntf32.dll
03.07.2005 17:49 12.067 SIntf16.dll
23.06.2005 18:39 50.186 QuickTime.qtp
02.06.2005 18:32 317.836 prfh0407.dat
02.06.2005 18:32 48.488 prfc0407.dat
09.04.2005 22:17 401.408 DLLAV32.dll
09.04.2005 22:17 36.864 DLLPNT32.dll
09.04.2005 22:17 49.152 DLLIO32.dll
09.04.2005 22:17 155.648 DLLDEV32.dll
09.04.2005 22:17 143.360 DLLDRV32.dll
09.04.2005 22:17 32.768 STRING32.dll
09.04.2005 22:17 188.416 DLLRES32.dll
09.04.2005 21:05 27.807 mgxcdr.txt
27.03.2005 09:01 311.604 perfh009.dat
27.03.2005 09:01 48.156 perfc007.dat
27.03.2005 09:01 316.594 perfh007.dat
27.03.2005 09:01 39.992 perfc009.dat
27.03.2005 09:01 723.744 PerfStringBackup.INI
17.03.2005 20:15 43.520 CmdLineExt03.dll
24.02.2005 08:32 229.376 nvrscs.dll
24.02.2005 08:32 307.200 nvrsar.dll
24.02.2005 08:32 237.568 nvrsda.dll
24.02.2005 08:32 5.332.992 nvoglnt.dll
24.02.2005 08:32 245.760 nvnt4cpl.dll
24.02.2005 08:32 86.016 nvmctray.dll
24.02.2005 08:32 1.458.176 nview.dll
24.02.2005 08:32 540.672 nvhwvid.dll
24.02.2005 08:32 1.339.392 nvdspsch.exe
24.02.2005 08:32 14.435 nvdisp.nvu
24.02.2005 08:32 5.537.792 nvcpl.dll
24.02.2005 08:32 258.048 nvrsde.dll
24.02.2005 08:32 262.144 nvrsel.dll
24.02.2005 08:32 147.456 nvcolor.exe
24.02.2005 08:32 32.256 nvcodins.dll
24.02.2005 08:32 393.216 keystone.exe
24.02.2005 08:32 1.495.040 nwiz.exe
24.02.2005 08:32 229.376 nvrseng.dll
24.02.2005 08:32 163.840 nvwrszht.dll
24.02.2005 08:32 32.256 nvcod.dll
24.02.2005 08:32 299.008 nvwrstr.dll
24.02.2005 08:32 290.816 nvwrssv.dll
24.02.2005 08:32 294.912 nvwrssl.dll
24.02.2005 08:32 290.816 nvwrssk.dll
24.02.2005 08:32 307.200 nvwrsru.dll
24.02.2005 08:32 311.296 nvwrsptb.dll
24.02.2005 08:32 319.488 nvwrspt.dll
24.02.2005 08:32 290.816 nvwrspl.dll
24.02.2005 08:32 294.912 nvwrsno.dll
24.02.2005 08:32 311.296 nvwrsnl.dll
24.02.2005 08:32 192.512 nvwrsko.dll
24.02.2005 08:32 208.896 nvwrsja.dll
24.02.2005 08:32 319.488 nvwrsit.dll
24.02.2005 08:32 307.200 nvwrshu.dll
24.02.2005 08:32 274.432 nvwrshe.dll
24.02.2005 08:32 319.488 nvwrsfr.dll
24.02.2005 08:32 294.912 nvwrsfi.dll
24.02.2005 08:32 319.488 nvwrsesm.dll
24.02.2005 08:32 327.680 nvwrses.dll
24.02.2005 08:32 278.528 nvwrseng.dll
24.02.2005 08:32 331.776 nvwrsel.dll
24.02.2005 08:32 303.104 nvwrsde.dll
24.02.2005 08:32 290.816 nvwrsda.dll
24.02.2005 08:32 278.528 nvwrscs.dll
24.02.2005 08:32 274.432 nvwrsar.dll
24.02.2005 08:32 442.368 nvappbar.exe
24.02.2005 08:32 1.019.904 nvwimg.dll
24.02.2005 08:32 1.662.976 nvwdmcpl.dll
24.02.2005 08:32 81.920 nvwddi.dll
24.02.2005 08:32 176.128 nvudisp.exe
24.02.2005 08:32 73.728 nvtuicpl.cpl
24.02.2005 08:32 127.043 nvsvc32.exe
24.02.2005 08:32 466.944 nvshell.dll
24.02.2005 08:32 114.688 nvrszht.dll
24.02.2005 08:32 208.896 nvrszhc.dll
24.02.2005 08:32 237.568 nvrstr.dll
24.02.2005 08:32 3.973.888 nv4_disp.dll
24.02.2005 08:32 237.568 nvrssv.dll
24.02.2005 08:32 237.568 nvrssl.dll
24.02.2005 08:32 237.568 nvrssk.dll
24.02.2005 08:32 249.856 nvrsru.dll
24.02.2005 08:32 249.856 nvrsptb.dll
24.02.2005 08:32 253.952 nvrspt.dll
24.02.2005 08:32 237.568 nvrspl.dll
24.02.2005 08:32 262.144 nvrses.dll
24.02.2005 08:32 253.952 nvrsnl.dll
24.02.2005 08:32 245.760 nvrsko.dll
24.02.2005 08:32 249.856 nvrsja.dll
24.02.2005 08:32 262.144 nvrsit.dll
24.02.2005 08:32 241.664 nvrshu.dll
24.02.2005 08:32 303.104 nvrshe.dll
24.02.2005 08:32 266.240 nvrsfr.dll
24.02.2005 08:32 229.376 nvrsfi.dll
24.02.2005 08:32 253.952 nvrsesm.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS\Temp

21.09.2005 14:56 2.048.000 AcrB6.tmp
21.09.2005 14:56 199 AcrB7.tmp
21.09.2005 14:56 2.048.000 AcrB4.tmp
21.09.2005 14:56 199 AcrB5.tmp
21.09.2005 10:50 16.384 Perflib_Perfdata_2b4.dat
21.09.2005 06:24 256 ZLT0534d.TMP
6 Datei(en) 4.113.038 Bytes
0 Verzeichnis(se), 12.117.528.576 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS

21.09.2005 15:18 1.490 win.ini
21.09.2005 08:33 6.400 balloon.wav
21.09.2005 06:24 0 0.log

21.09.2005 06:23 2.048 bootstat.dat
20.09.2005 21:07 32.626 SchedLgU.Txt
20.09.2005 18:51 216 wiadebug.log
20.09.2005 17:40 47 wiaservc.log
20.09.2005 08:27 1.495.118 ntbtlog.txt
10.09.2005 14:50 306 QTW.INI
07.09.2005 20:09 486.657 DirectX.log
07.09.2005 20:06 734.093 setupapi.log
07.09.2005 20:04 1.409 QTFont.for
07.09.2005 20:04 54.156 QTFont.qfn
07.09.2005 12:47 32 pavsig.txt
23.08.2005 01:18 3.567 vinto.dat
09.08.2005 05:23 197.755 sorvy.txt
08.07.2005 14:58 2.479 mgxoschk.ini
08.07.2005 14:27 0 bibel.ini
05.07.2005 08:32 197 wmsetup.log
03.07.2005 17:32 179 CSPLAYER.INI
03.07.2005 16:55 60 RESULT.QTW
03.07.2005 16:54 231 SYSINI.QTW
03.07.2005 16:54 1.391 WININI.QTW
02.06.2005 17:28 4.616 ODBCINST.INI
21.02.2005 12:16 0 toolbar.exe
27.12.2004 00:25 0 iPlayer.INI
15.12.2004 14:32 3.038 tm.ini
05.12.2004 17:34 35 tdf.dii
30.11.2004 21:01 108 atarigo.ini
28.11.2004 19:05 6.426 Windows Update.log
25.11.2004 20:05 159 wininit.ini
22.11.2004 20:30 849 wincmd.ini
03.08.2004 19:58 16 ka.ini
17.07.2004 11:03 585 videoimp.ini
12.06.2004 11:48 882 TSC.ini
12.06.2004 10:44 675.501 tsc.ptn
12.06.2004 10:44 508.068 tsc.exe
12.06.2004 10:44 71.749 HCExtOutput.dll
12.06.2004 10:44 1.036.800 vsapi32.dll
12.06.2004 10:44 43.008 BPMNT.dll
12.06.2004 10:44 8.791.546 LPT$VPN.903
12.06.2004 10:44 8.791.546 VPTNFILE.903
12.06.2004 10:42 507.904 TMUPDATE.DLL
12.06.2004 10:42 69.689 UNZIP.DLL
12.06.2004 10:42 286.720 PATCH.EXE
03.06.2004 20:05 8.829 KB835732.log
03.06.2004 20:05 10.298 xpsp1hfm.log
03.06.2004 20:05 21.793 comsetup.log
03.06.2004 20:05 11.470 ntdtcsetup.log
03.06.2004 20:05 71.244 iis6.log
03.06.2004 20:05 18.602 tsoc.log
03.06.2004 20:05 1.355 imsins.log
03.06.2004 20:05 1.727 msgsocm.log
03.06.2004 20:05 1.701 ocmsn.log
03.06.2004 20:05 20.257 ocgen.log
03.06.2004 20:05 30.087 FaxSetup.log
03.06.2004 20:05 15.660 msmqinst.log
02.06.2004 12:59 243 KL_FFK.INI
02.06.2004 10:47 587 MTB40.INI
02.06.2004 10:47 0 asym.ini
18.05.2004 13:15 65 wdz4.ini
15.05.2004 07:44 0 test
15.05.2004 07:44 0 mstasks1.exe
15.05.2004 07:44 0 mstaskss.exe
15.05.2004 07:44 0 msstasks.exe
15.05.2004 07:44 0 dlm.html
15.05.2004 07:44 0 dl.html

06.05.2004 17:17 88 Bibi_Tina6.ini
24.03.2004 18:22 99.328 runtsckl.exe
17.02.2004 14:49 0 PROTOCOL.INI
17.02.2004 14:49 69 schreib2.ini
12.02.2004 12:30 137 uno.ini
18.01.2004 21:40 189 INSTALL.LOG
03.01.2004 15:38 316.640 WMSysPr9.prx
31.12.2003 13:26 90 SilentReboot.log
31.12.2003 13:16 90 MSILog.txt
21.12.2003 10:40 23 err.txt
06.11.2003 20:18 623 Edofma.INI
28.09.2003 10:50 933 eReg.dat
23.09.2003 21:08 391 ULEAD32.INI
23.09.2003 21:06 33 mtwm2.ini
19.09.2003 12:16 170.447 setupact.log
17.09.2003 12:57 6.805 KB824146.log
17.09.2003 12:57 1.374 imsins.BAK
06.09.2003 18:46 299.552 WMSysPrx.prx
17.08.2003 15:01 2.865 Ascd_tmp.ini
15.08.2003 20:16 249.856 Setup1.exe
15.08.2003 20:16 73.216 ST6UNST.EXE
15.08.2003 19:47 15.298 Meister.acl
15.08.2003 19:35 25 mixerdef.ini
15.08.2003 19:33 26 CMCDPLAY.INI
15.08.2003 17:35 16.774 KB823980.log
15.08.2003 17:14 0 Sti_Trace.log
15.08.2003 17:12 1.348 regopt.log
15.08.2003 17:12 231 system.ini
15.08.2003 17:03 2.441 tonlinst.ini
15.08.2003 17:02 11.982 TOHELP4.ISU
15.08.2003 17:01 94.654 TOSO40.ISU
15.08.2003 16:52 636 ODBC.INI
15.08.2003 16:31 820 OEWABLog.txt
15.08.2003 16:30 674.594 setuplog.txt
15.08.2003 16:28 8.192 REGLOCS.OLD
15.08.2003 16:27 1.246 setuperr.log
15.08.2003 16:24 0 control.ini
15.08.2003 16:23 749 WindowsShell.Manifest
15.08.2003 16:19 1.060 sessmgr.setup.log
15.08.2003 16:19 37 vbaddin.ini
15.08.2003 16:19 36 vb.ini
15.08.2003 16:18 128 DtcInstall.log
16.06.2003 16:57 5.168.440 DS9.scr
28.05.2003 16:40 69.300 Unnero.cfg
06.05.2003 13:41 1.171.456 Unnero.exe
16.03.2003 00:15 90.112 unvise32.exe
01.11.2002 16:17 256 aucfg.ini
15.10.2002 14:29 77.824 loadhttp.dll
04.07.2002 15:05 269 tmupdate.ini
18.01.2002 19:12 112 ActiveSkin.INI
14.12.2001 13:34 164.864 patchw32.dll
07.12.2001 22:32 184.320 W2KSetup.exe
07.12.2001 17:24 1.216.512 Mixer.dat
07.12.2001 17:24 1.216.512 Mixer.exe
22.10.2001 19:02 122.880 cmuninst.dat
22.10.2001 19:01 122.880 cmuninst.exe
18.08.2001 14:00 2 desktop.ini
18.08.2001 14:00 17.362 Rhododendron.bmp
18.08.2001 14:00 82.944 clock.avi
18.08.2001 14:00 1.405 msdfmap.ini
18.08.2001 14:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 14:00 15.872 TASKMAN.EXE
18.08.2001 14:00 67.072 NOTEPAD.EXE
18.08.2001 14:00 257.568 winhelp.exe
18.08.2001 14:00 18.944 vmmreg32.dll
18.08.2001 14:00 26.680 F„cher.bmp
18.08.2001 14:00 65.978 Seifenblase.bmp
18.08.2001 14:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 14:00 26.647 hh.exe
18.08.2001 14:00 48.680 winnt.bmp
18.08.2001 14:00 34.818 wmprfDEU.prx
18.08.2001 14:00 271.872 winhlp32.exe
18.08.2001 14:00 94.800 twain.dll
18.08.2001 14:00 46.592 twain_32.dll
18.08.2001 14:00 49.680 twunk_16.exe
18.08.2001 14:00 25.600 twunk_32.exe
18.08.2001 14:00 9.522 Zapotek.bmp
18.08.2001 14:00 48.680 winnt256.bmp
18.08.2001 14:00 17.336 Angler.bmp
18.08.2001 14:00 26.582 Granit.bmp
18.08.2001 14:00 16.730 Feder.bmp
18.08.2001 14:00 141.312 regedit.exe
18.08.2001 14:00 65.954 Pr„riewind.bmp
18.08.2001 14:00 80 explorer.scf
18.08.2001 14:00 17.062 Kaffeetasse.bmp
18.08.2001 14:00 1.004.032 explorer.exe
18.08.2001 14:00 707 _default.pif
26.07.2001 15:35 32.768 WSUtil.exe
16.07.2001 04:54 545 ARJ.PIF
16.07.2001 04:54 545 LHA.PIF
16.07.2001 04:54 545 NOCLOSE.PIF
16.07.2001 04:54 545 PKUNZIP.PIF
16.07.2001 04:54 545 PKZIP.PIF
16.07.2001 04:54 545 RAR.PIF
16.07.2001 04:54 545 UC.PIF
15.02.2001 00:00 91.648 osl364mi.dll
15.02.2001 00:00 109.568 vos364mi.dll
15.02.2001 00:00 287.744 uno364mi.dll
10.11.1999 12:05 86.016 unvise32qt.exe
23.07.1999 13:46 116 AuHCcup1.ini
23.07.1999 10:53 129.536 AuHCcup1.dll
26.05.1999 09:46 212.480 pcdlib32.dll
17.11.1998 12:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
11.02.1998 13:01 182.528 PI.EXE
30.01.1998 18:05 56.832 W50INST.EXE
01.03.1997 04:00 905 INSTALL.000
15.11.1996 00:00 15.298 MSO97.ACL
06.11.1996 13:05 302.592 unin0407.exe
05.11.1996 16:13 299.008 uninst.exe
26.08.1996 02:12 36.412 VIEWENU.HLP
26.08.1996 02:12 107.008 PLAY32.EXE
26.08.1996 02:12 43.875 MCENU.HLP
26.08.1996 02:12 93.184 VIEW32.EXE
26.08.1996 02:12 67.415 PLAYENU.HLP
26.08.1996 02:12 2.061.312 QT32INST.EXE
26.08.1996 02:12 169.472 QTW32DEL.EXE
26.08.1996 02:12 10.112 READQT32.WRI
26.08.1996 02:12 881.787 SAMPLE.MOV
15.07.1996 11:35 249.072 UNINST16.EXE
08.02.1996 17:06 247.296 UN160407.EXE
03.03.1995 00:00 6.464 ODBCADM.EXE
189 Datei(en) 44.679.655 Bytes
0 Verzeichnis(se), 12.117.524.480 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\

21.09.2005 17:04 0 sys.txt
21.09.2005 17:03 9.447 system.txt
21.09.2005 17:03 527 systemtemp.txt
21.09.2005 17:02 101.549 system32.txt
21.09.2005 16:33 133 log.txt
21.09.2005 06:23 805.306.368 pagefile.sys
07.09.2005 09:34 144 TDSLCheck.txt
30.07.2005 14:21 4.728 mxfilerelatedcache.mxc2
08.01.2005 16:43 274 m00.exe
19.02.2004 21:10 125 I.HTM
04.02.2004 19:56 1.795 Breed.Log
16.01.2004 10:39 307.200 ffastunT.ffl
14.01.2004 20:29 4.379 ffastun.ffa
14.01.2004 20:29 159.744 ffastun.ffo
14.01.2004 20:29 2.076.672 ffastun0.ffx
14.01.2004 20:29 532.480 ffastun.ffl
03.01.2004 19:50 936.598 medien fr teac.bmp
26.10.2003 14:57 1.091 INSTALL.LOG
15.08.2003 16:24 0 IO.SYS
15.08.2003 16:24 0 CONFIG.SYS
15.08.2003 16:24 0 AUTOEXEC.BAT
15.08.2003 16:24 0 MSDOS.SYS
15.08.2003 16:15 194 boot.ini
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 224.032 ntldr
24.05.2001 13:59 162.304 UNWISE.EXE
27 Datei(en) 809.879.860 Bytes
0 Verzeichnis(se), 12.117.528.576 Bytes frei

Bei f-secure-Beta Trial finde ich nur dies:

csvmx.exe
loadctr32.exe
ntfsnlpa.exe
wbemtest.exe

Sonst ist da nichts :-(
Seitenanfang Seitenende
21.09.2005, 20:58
...neu hier

Beiträge: 1
#18 Hallo!

Ich habe genau dasselbe Problem mit diesen beiden Trojanern. Habe jetzt, wie gewünscht, keinen neuen Thread angefangen. Hoffe das auch mir hier geholfen werden kann.

Beste Grüße Jan
Seitenanfang Seitenende
22.09.2005, 01:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo@Ela1969

langsam kommen wir der Sache schon naeher, aber bitte, kannst du nicht alles auf einmal abarbeiten????
Es kommt alles so troepfchenweise ;)

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)

rkfiles.zip
http://skads.org/special/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/softwar.../savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

winpfind
http://virus-protect.org/winpfind.html

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 01:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@Jan3055
Poste das Log vom HijackThis und alles, was ich von @Ela1969 erbeten habe, ich kann sehr gut die PC+s hier reinigen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 09:14
Member

Themenstarter

Beiträge: 16
#21

Zitat

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)
Auch nach mehreren Versuchen finde ich nur dies:

csvmx.exe
loadctr32.exe
ntfsnlpa.exe
wbemtest.exe


Zitat

rkfiles.zip
http://skads.org/special/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/softwar.../savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Da kommt kein Dos-Fenster, in dem ich irgendetwas machen könnte. Es kommt ganz normal der Desktop, nur in anderen Farben und in den Ecken steht jeweils: abgesicherter Modus. Der Link: tu-berlin usw. funktioniert nicht.


Zitat

winpfind
http://virus-protect.org/winpfind.html
Kann ich nicht öffnen!

Zitat

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
http://virus-protect.org/silentrunner.html kann ich nicht öffnen!
Seitenanfang Seitenende
22.09.2005, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Ela1969

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\csvmx.exe
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\system32\msexnpfi.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\test
C:\WINDOWS\vinto.dat
C:\WINDOWS\mstasks1.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\mstaskss.exe
C:\WINDOWS\msstasks.exe
C:\WINDOWS\dlm.html
C:\WINDOWS\dl.html
c:\m00.exe

PC neustarten

du wirst jetzt bitte den Firefox installieren, mit diesem Browser kommst du auf meine Seite
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
--------------------------------------------------------------------------

Lade: rkfiles.zip
http://skads.org/special/rkfiles.zip

- entpacken

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

- Doppelklick(Ausfuehren)--rkfiles.bat -- warten bis sich das DOS-Fenster schliesst--- poste C:\log.txt

winpfind
http://virus-protect.org/winpfind.html

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Zitat

# %Windir%\toolbar.exe
# %Windir%\mstasks1.exe
# %system%\dktime.exe
# %system%\dk.exe
# %system%\dk32.exe
# %system%\sexxx.exe

21.02.2005 12:16 0 toolbar.exe

15.05.2004 07:44 0 test
15.05.2004 07:44 0 mstasks1.exe
15.05.2004 07:44 0 mstaskss.exe
15.05.2004 07:44 0 msstasks.exe
15.05.2004 07:44 0 dlm.html
15.05.2004 07:44 0 dl.html


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 14:28
Member

Themenstarter

Beiträge: 16
#23 Hi Sabina!

Ich hoffe, ich konnte diesmal besser folgen. Hier die Ergebnisse:


Zitat

Sabina postete
Ela1969

•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\csvmx.exe
C:\WINDOWS\system32\loadctr32.exe
C:\WINDOWS\system32\ntfsnlpa.exe
C:\WINDOWS\system32\hclean32.exe
C:\WINDOWS\system32\msexnpfi.exe
C:\WINDOWS\balloon.wav
C:\WINDOWS\test
C:\WINDOWS\vinto.dat
C:\WINDOWS\mstasks1.exe
C:\WINDOWS\toolbar.exe
C:\WINDOWS\mstaskss.exe
C:\WINDOWS\msstasks.exe
C:\WINDOWS\dlm.html
C:\WINDOWS\dl.html
c:\m00.exe

PC neustarten erledigt

du wirst jetzt bitte den Firefox installieren, mit diesem Browser kommst du auf meine Seite
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
erledigt--------------------------------------------------------------------------

Lade: rkfiles.zip
http://skads.org/special/rkfiles.zip

- entpacken

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

- Doppelklick(Ausfuehren)--rkfiles.bat -- warten bis sich das DOS-Fenster schliesst--- poste C:\log.txt

erledigt
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\msexnpfi.exe: PEFSG!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\msexnpfi.exe: PEFSG!
Files Found in all users windows Folder............
------------------------
C:\WINDOWS\vsapi32.dll: UPX!t4
Finished
bye




winpfind
http://virus-protect.org/winpfind.html
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...
UPX! 22.09.2005 12:26:44 807 C:\log.txt
FSG! 22.09.2005 12:26:44 807 C:\log.txt
PEC2 22.09.2005 12:26:44 807 C:\log.txt
FSG! 22.09.2005 12:22:58 42 C:\start.txt
FSG! 22.09.2005 12:24:16 258 C:\win.txt
PEC2 22.09.2005 12:24:16 258 C:\win.txt
UPX! 22.09.2005 12:26:20 32 C:\windows.txt

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
PECompact2 12.06.2004 10:44:36 8791546 C:\WINDOWS\LPT$VPN.903
PECompact2 12.06.2004 10:44:36 8791546 C:\WINDOWS\VPTNFILE.903
UPX! 12.06.2004 10:44:36 1036800 C:\WINDOWS\vsapi32.dll
aspack 12.06.2004 10:44:36 1036800 C:\WINDOWS\vsapi32.dll

Checking %System% folder...
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
FSG! 28.08.2005 15:14:18 705 C:\WINDOWS\SYSTEM32\msexnpfi.exe
qoologic 23.01.2005 18:13:30 8145791 C:\WINDOWS\SYSTEM32\pav.sig
aspack 23.01.2005 18:13:30 8145791 C:\WINDOWS\SYSTEM32\pav.sig
SAHAgent 23.01.2005 18:13:30 8145791 C:\WINDOWS\SYSTEM32\pav.sig
winsync 23.01.2005 18:13:30 8145791 C:\WINDOWS\SYSTEM32\pav.sig
Umonitor 18.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
aspack 12.09.2000 12:58:26 160256 C:\WINDOWS\SYSTEM32\ShrLk21.dll
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
22.09.2005 12:56:48 S 2048 C:\WINDOWS\bootstat.dat
07.09.2005 20:04:24 H 54156 C:\WINDOWS\QTFont.qfn
22.09.2005 12:56:54 H 23943 C:\WINDOWS\system32\FFASTLOG.TXT
22.09.2005 12:58:08 H 238 C:\WINDOWS\system32\vsconfig.xml
22.09.2005 12:57:28 H 1024 C:\WINDOWS\system32\config\default.LOG
22.09.2005 12:56:50 H 1024 C:\WINDOWS\system32\config\SAM.LOG
22.09.2005 12:58:06 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
22.09.2005 13:20:20 H 20480 C:\WINDOWS\system32\config\software.LOG
22.09.2005 12:58:06 H 1024 C:\WINDOWS\system32\config\system.LOG
22.09.2005 12:56:50 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 15.11.1996 22528 C:\WINDOWS\SYSTEM32\FINDFAST.CPL
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 03.06.2004 23:05:06 61555 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 24.02.2005 08:32:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 26.08.1996 02:12:00 R 341504 C:\WINDOWS\SYSTEM32\QTW32.CPL
Apple Computer, Inc. 30.03.2000 19:00:32 250880 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 18.08.2001 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 18.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 18.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 18.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 18.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 04:41:00 208896 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 18.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 18.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 18.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 18.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 18.08.2001 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 18.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 18.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
15.08.2003 16:24:40 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
16.08.2003 10:03:12 728 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ZoneAlarm.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
15.08.2003 17:11:38 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
15.08.2003 16:24:40 HS 84 C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart\desktop.ini
15.08.2003 16:52:42 741 C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk
15.08.2003 16:52:42 716 C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart\Office-Start.lnk

Checking files in %USERPROFILE%\Application Data folder...
15.08.2003 17:11:38 HS 62 C:\Dokumente und Einstellungen\Meister\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AntiVir/Win
{a7cda720-84ee-11d0-b5c0-00001b3ca278} = C:\Programme\AVPersonal\AVShlExt.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole :

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
C-Media Mixer Mixer.exe /startup
ASUS Probe C:\Program Files\ASUS\Probe\AsusProb.exe
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
NeroCheck C:\WINDOWS\system32\NeroCheck.exe
PPMemCheck C:\Programme\PestPatrol\PPMemCheck.exe
CookiePatrol C:\Programme\PestPatrol\CookiePatrol.exe
SunJavaUpdateSched C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
AVGCtrl "C:\Programme\AVPersonal\AVGNT.EXE" /min
dmqfg.exe C:\WINDOWS\System32\dmqfg.exe
RegSvr32 C:\WINDOWS\System32\msmsgs.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Host

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
notepad.exe msmsgs.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe, msmsgs.exe
System = csiru.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.0 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 22.09.2005 13:20:29[/color]


silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

[color="blue"]Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Host" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmqfg.exe" = "C:\WINDOWS\System32\dmqfg.exe" [file not found]
"RegSvr32" = "C:\WINDOWS\System32\msmsgs.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "explorer.exe, msmsgs.exe" [MS], [null data]
INFECTION WARNING! "System" = "csiru.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Meister" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 137 seconds, including 18 seconds for message boxes)

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Host" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"notepad.exe" = "msmsgs.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmqfg.exe" = "C:\WINDOWS\System32\dmqfg.exe" [file not found]
"RegSvr32" = "C:\WINDOWS\System32\msmsgs.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "explorer.exe, msmsgs.exe" [MS], [null data]
INFECTION WARNING! "System" = "csiru.exe" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Meister" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 124 seconds, including 8 seconds for message boxes)
Seitenanfang Seitenende
22.09.2005, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Start-->Ausfuehren--> regedit

bearbeiten--> suchen-->

csiru.exe
Host
msmsgs.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Host"<-- loeschen

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"notepad.exe" = "msmsgs.exe" <-- loeschen

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"Shell" = "explorer.exe, ---> nur das rausloeschen -->msmsgs.exe"
"System" = "csiru.exe" <-- loeschen

Zitat

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "explorer.exe, msmsgs.exe" [MS], [null data]
INFECTION WARNING! "System" = "csiru.exe" [file not found]
loesche mit der Killbox:
C:\WINDOWS\system32\msexnpfi.exe <---die sollte eigentlich schon geloescht sein.....(siehe oben)
C:\WINDOWS\System32\dmqfg.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\csiru.exe

PC neustarten


smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

f-secure-Beta Trial noch mal scannen (da erscheint eine txt-Datei, kopiere sie ab und poste sie)

scanne mit kaspersky und berichte vom Scan
http://virus-protect.org/onlinescan.html

noch mal den Silentrunner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 18:02
Member

Themenstarter

Beiträge: 16
#25 Welchen File Name soll ich denn bei Kaspersky eingeben?



smitRem log file
version 2.4

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! ;)


09/22/05 17:41:14 [Info]: BlackLight Engine 1.0.23 initialized
09/22/05 17:41:14 [Info]: OS: 5.1 build 2600 ()
09/22/05 17:41:14 [Note]: 4019 0
09/22/05 17:41:14 [Note]: 4019 1
09/22/05 17:41:16 [Note]: 4019 2
09/22/05 17:41:16 [Note]: 4019 3
09/22/05 17:41:16 [Note]: 4019 4
09/22/05 17:41:16 [Note]: 4005 0
09/22/05 17:41:21 [Note]: 4006 0
09/22/05 17:41:22 [Note]: 4011 976
09/22/05 17:41:22 [Note]: FSRAW library version 1.7.1011
09/22/05 17:44:35 [Note]: 4007 0


"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Host" = (empty string)

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]
"dmqfg.exe" = "C:\WINDOWS\System32\dmqfg.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"delfile" = "C:\delfiles.cmd" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "explorer.exe, msmsgs.exe" [MS], [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Meister" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 120 seconds, including 10 seconds for message boxes)
Seitenanfang Seitenende
22.09.2005, 18:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 du hast nicht alles korrekt in der Registry geloescht, aber ich erstelle dir eine Datei dafuer, aber erst heute Abend.

mittlerweile loesche: (mit der Killbox)
C:\WINDOWS\System32\dmqfg.exe

bei Kaspersky sollst du nichts eingeben, du sollst scannen. (Onlinescanner)
http://www.kaspersky.com/virusscanner
dann bitte den Scanreport abkopieren)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 18:28
Member

Themenstarter

Beiträge: 16
#27 In der Killbox kommt folgender Kommentar:

PendingFileRenameOperations RegistryData has been removed by external process.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, September 22, 2005 22:12:34
Operating System: Microsoft Windows XP Professional, (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 22/09/2005
Kaspersky Anti-Virus database records: 141610
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\

Scan Statistics:
Total number of scanned objects: 68721
Number of viruses found: 3
Number of infected objects: 2
Number of suspicious objects: 5
Duration of the scan process: 5939 sec

Infected Object Name - Virus Name
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotify@ebay.com <emailnotify@ebay.com>][Date Sun, 23 Jan 2005 13:20:35 -0500]/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotif@ebay.com <emailnotif@ebay.com>][Date Mon, 31 Jan 2005 14:40:32 -0500]/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From emailnotif@ebay.de <emailnotif@ebay.de>][Date 16 Feb 2005 13:06:08 -0600]/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx/[From "eBay" <emailnotif@ebay.com>][Date Mon, 6 Oct 2003 09:31:14 +0200]/html Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Anwendungsdaten\Identities\{D79B9511-1F76-4B3D-9D82-AC6E96C5CDD1}\Microsoft\Outlook Express\Quarantäne.dbx Suspicious: Trojan-Spy.HTML.Fraud.gen
C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP176\A0031140.exe Infected: Trojan.Win32.DNSChanger.u
C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP198\A0040000.exe Infected: Trojan-Downloader.Win32.Zlob.an

Scan process completed.
Dieser Beitrag wurde am 22.09.2005 um 22:14 Uhr von Ela1969 editiert.
Seitenanfang Seitenende
22.09.2005, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 gehe noch mal in die Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\
explorer.exe, --> msmsgs.exe" (loeschen)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen (ja klicken)

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Host"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmqfg.exe"=-
dann poste das neue Log vom Silentrunner ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2005, 08:04
Member

Themenstarter

Beiträge: 16
#29 Guten Morgen!

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe"

[null data]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"PPMemCheck" = "C:\Programme\PestPatrol\PPMemCheck.exe" [file not found]
"CookiePatrol" = "C:\Programme\PestPatrol\CookiePatrol.exe" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [null data]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVGCtrl" = ""C:\Programme\AVPersonal\AVGNT.EXE" /min" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Startup items in "Meister" & "All Users" startup folders:
---------------------------------------------------------

C:\Dokumente und Einstellungen\Meister\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\

Missing lines (compared with English-language version):
HIJACK WARNING! "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 129 seconds, including 18 seconds for message boxes)
Seitenanfang Seitenende
23.09.2005, 09:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 das sieht ja schon sehr gut aus ;)

kopiere in die Killbox + loeschen+ PC neustarten

C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP176\A0031140.exe
C:\System Volume Information\_restore{8AEB51B3-EAF0-4165-8971-44BAB3F73996}\RP198\A0040000.exe


Outlook Express\Quarantäne.dbx <--loesche die Mails aus dieser Box (alle, da sie Viren enthalten)

mache bitte diesen Scan und berichte
http://virus-protect.org/onlinescan.html
McAfee FreeScan (Online)
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende