habe email-worm.win32.bagle.n auf meinem pc!

#0
22.09.2005, 10:52
...neu hier

Beiträge: 10
#1 hallo,
vielleicht hat ja jemand etwas zeit und kann mir bei meinem problem helfen...

seit gestern gibt mir a2 an, dass sich ein wurm auf meinem pc befindet. auch nach dem löschen, sowohl mit a2 als auch manuell, kommt dieser immer wieder.

folgendes wird bei a2 angegeben:
c:\windows\system32\dllcache\twunk_32.exe email-worm.win32.bagle.n
c:\windows\twunk_32.exe email-worm.win32.bagle.n

als virenscanner benutze ich kaspersky und der gibt mir komischerweise keine meldung von einem wurm.

vorgestern hatte ich noch einen scan mit a2 gemacht und da hatte ich nichts.
ich frage mich, wie ich diesen wurm bekommen habe. ich habe nur emails von ebay mit antworten von verkäufern bekommen und 2 von meiner freundin. sonst öffne ich auch nichts.

könnt ihr mir vielleicht sagen, wie ich diesen wurm wieder loswerde und was er überhaupt so anrichtet. im netz hab ich nichts aufschlussreiches gefunden.

wie gefährlich ist dieses ding?

vielen dank und liebe grüsse :-)
Seitenanfang Seitenende
22.09.2005, 15:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Aaliyah30

arbeite das bitte ab und poste mir alles 4 Logs mit der Pfadangabe oben und ca. 2 Monate zurueck im Datum
http://virus-protect.org/virusprotect/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2005, 16:33
...neu hier

Themenstarter

Beiträge: 10
#3 hallo,

habe einen e-scan gemacht...ich füge das ergebnis mal ein...

--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Sep 22 13:37:54 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: No Action Taken.
2: Thu Sep 22 13:38:46 2005 => Offending file found: C:\DOKUME~1\Sugar\Desktop\toolbarsetup.exe
3: Thu Sep 22 13:38:46 2005 => System found infected with Findit Quick BrowserAid Spyware/Adware (toolbarsetup.exe)! Action taken: No Action Taken.
4: Thu Sep 22 13:38:52 2005 => Offending file found: C:\DOKUME~1\Sugar\LOKALE~1\Temp\insthelp.dll
5: Thu Sep 22 13:38:52 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
6: Thu Sep 22 13:44:26 2005 => File C:\WINDOWS\system32\wextract.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
7: Thu Sep 22 14:09:41 2005 => Scanning Folder: C:\Programme\Agnitum\Tauscan 1.7\Infected\*.*
8: Thu Sep 22 14:09:41 2005 => Scanning File C:\Programme\Agnitum\Tauscan 1.7\Infected\SETLAN.DLL
9: Thu Sep 22 14:09:42 2005 => Scanning File C:\Programme\Agnitum\Tauscan 1.7\Infected\wheelRes.dll
10: Thu Sep 22 14:22:19 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav [**]
11: Thu Sep 22 14:34:21 2005 => File C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP182\A1140021.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
12: Thu Sep 22 14:35:07 2005 => File C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP182\A1141217.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
13: Thu Sep 22 14:41:46 2005 => File C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP184\A1153061.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
14: Thu Sep 22 14:42:44 2005 => File C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP184\A1154807.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
15: Thu Sep 22 14:57:34 2005 => File C:\WINDOWS\ServicePackFiles\i386\wextract.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
16: Thu Sep 22 15:00:21 2005 => File C:\WINDOWS\system32\wextract.exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.
17: Thu Sep 22 15:00:56 2005 => File D:\codecs\WM9Codecs[Codec-Download.de].exe infected by "Trojan-Dropper.Win32.Agent.vj" Virus! Action Taken: No Action Taken.


--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Thu Sep 22 14:06:00 2005 => File C:\escheck\ECBackup\ts3cab.tsd.bkp tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.333. No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Sep 22 13:37:53 2005 => ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\zntport.sys in SYSTEM\CurrentControlSet\Services\zntport...
2: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".1mp3". Action Taken: No Action Taken.
3: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".acr". Action Taken: No Action Taken.
4: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".b3d". Action Taken: No Action Taken.
5: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cam". Action Taken: No Action Taken.
6: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".CCD". Action Taken: No Action Taken.
7: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cr2". Action Taken: No Action Taken.
8: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".crw". Action Taken: No Action Taken.
9: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".cue". Action Taken: No Action Taken.
10: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dcm". Action Taken: No Action Taken.
11: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dds". Action Taken: No Action Taken.
12: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ecw". Action Taken: No Action Taken.
13: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".fsh". Action Taken: No Action Taken.
14: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".g3". Action Taken: No Action Taken.
15: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".gsm". Action Taken: No Action Taken.
16: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ide". Action Taken: No Action Taken.
17: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".img". Action Taken: No Action Taken.
18: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".iw44". Action Taken: No Action Taken.
19: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".j2k". Action Taken: No Action Taken.
20: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".jng". Action Taken: No Action Taken.
21: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".jp2". Action Taken: No Action Taken.
22: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".jpc". Action Taken: No Action Taken.
23: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".jpm". Action Taken: No Action Taken.
24: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ldf". Action Taken: No Action Taken.
25: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lds". Action Taken: No Action Taken.
26: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lwf". Action Taken: No Action Taken.
27: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".m2v". Action Taken: No Action Taken.
28: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".med". Action Taken: No Action Taken.
29: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".mng". Action Taken: No Action Taken.
30: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ngg". Action Taken: No Action Taken.
31: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".nlm". Action Taken: No Action Taken.
32: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".nol". Action Taken: No Action Taken.
33: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ogg". Action Taken: No Action Taken.
34: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".part". Action Taken: No Action Taken.
35: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".ra". Action Taken: No Action Taken.
36: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sff". Action Taken: No Action Taken.
37: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sfw". Action Taken: No Action Taken.
38: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sid". Action Taken: No Action Taken.
39: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sun". Action Taken: No Action Taken.
40: Thu Sep 22 13:39:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".THM". Action Taken: No Action Taken.
41: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "TVgenial". Action Taken: No Action Taken.
42: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Cool's_Codec_pack_4.12". Action Taken: No Action Taken.
43: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Kaspersky Anti-Virus Personal". Action Taken: No Action Taken.
44: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "net". Action Taken: No Action Taken.
45: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "T-Online Direktanwahl". Action Taken: No Action Taken.
46: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "TVgenial". Action Taken: No Action Taken.
47: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "xp-AntiSpy". Action Taken: No Action Taken.
48: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Yahoo! Messenger Explorer Bar". Action Taken: No Action Taken.
49: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{3248F0A8-6813-11D6-A77B-00B0D0150010}". Action Taken: No Action Taken.
50: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}". Action Taken: No Action Taken.
51: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1031-7B44-000000000001}". Action Taken: No Action Taken.
52: Thu Sep 22 13:39:13 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{AC76BA86-7AD7-1033-7B44-A70000000000}". Action Taken: No Action Taken.
53: Thu Sep 22 13:52:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip is Not Scanned
54: Thu Sep 22 13:52:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip is Not Scanned
55: Thu Sep 22 13:52:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip is Not Scanned
56: Thu Sep 22 13:52:14 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\system32\wextract.exe => Trojan-Dropper.Win32.Agent.vj
2: C:\escheck\ECBackup\ts3cab.tsd.bkp => tagged:RemoteAdmin.Win32.WinVNC.333.
3: C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP182\A1140021.exe => Trojan-Dropper.Win32.Agent.vj
4: C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP182\A1141217.exe => Trojan-Dropper.Win32.Agent.vj
5: C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP184\A1153061.exe => Trojan-Dropper.Win32.Agent.vj
6: C:\System Volume Information\_restore{6C959A54-E625-4D33-B108-9CB47C7EF35A}\RP184\A1154807.exe => Trojan-Dropper.Win32.Agent.vj
7: C:\WINDOWS\ServicePackFiles\i386\wextract.exe => Trojan-Dropper.Win32.Agent.vj
8: D:\codecs\WM9Codecs[Codec-Download.de].exe => Trojan-Dropper.Win32.Agent.vj

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Sep 22 15:06:33 2005 => Total Objects Scanned: 147861
Thu Sep 22 15:06:33 2005 => Total Virus(es) Found: 14
Thu Sep 22 15:06:33 2005 => Total Errors: 56
Thu Sep 22 15:06:33 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 15:06:33 2005 => Virus Database Count: 150643
Thu Sep 22 15:22:18 2005 => Total Objects Scanned: 147861
Thu Sep 22 15:22:18 2005 => Total Virus(es) Found: 14
Thu Sep 22 15:22:18 2005 => Total Errors: 56


und ein hijackthis....

Logfile of HijackThis v1.99.1
Scan saved at 16:27:36, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Dictionary4Free\FreeDict.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\explorer.exe
C:\escheck\eScanCheck110.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\escheck\eScanCheck110.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\higjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.incredimail.com/page.asp?page=reg_failure&lang=7&version=4001930&aff_id=1&addon=IncrediMail&type=counting
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Dictionary4Free] C:\Programme\Dictionary4Free\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEC6A740-B718-474F-A419-F8337B1DA6D6}: NameServer = 192.168.1.102
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


und jetzt die datfind ergebnisse....

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C31-97FB

Verzeichnis von C:\WINDOWS\system32

20.09.2005 13:06 2.262 wpa.dbl
21.08.2005 19:03 193.776 FNTCACHE.DAT
05.08.2005 03:31 1.457.496 MRT.exe
28.07.2005 12:43 118.784 sirenacm.dll
26.07.2005 02:02 311.740 perfh009.dat
26.07.2005 02:02 40.128 perfc009.dat
26.07.2005 02:02 316.924 perfh007.dat
26.07.2005 02:02 48.354 perfc007.dat
26.07.2005 02:02 723.744 PerfStringBackup.INI
20.07.2005 04:04 3.012.096 mshtml.dll
17.07.2005 14:05 98.304 qttask.exe
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 251.392 iepeers.dll
03.07.2005 04:15 1.019.904 browseui.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 152.064 cdfview.dll
02.07.2005 15:29 3.741 jupdate-1.5.0_04-b05.log


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C31-97FB

Verzeichnis von C:\DOKUME~1\Sugar\LOKALE~1\Temp

22.09.2005 15:24 917.504 MFPL7014.DLL
22.09.2005 15:22 16.384 ~DFCEEC.tmp
22.09.2005 13:35 16.384 ~DF56F0.tmp
22.09.2005 11:36 49.152 ~DFFE4.tmp
22.09.2005 10:00 16.384 ~DFB98E.tmp
22.09.2005 01:29 16.384 ~DF6A44.tmp
22.09.2005 01:24 49.152 ~DFA3CA.tmp
21.09.2005 12:32 8.316 java_install_reg.log
21.09.2005 11:01 16.384 ~DFC11F.tmp
20.09.2005 23:27 49.152 ~DF7695.tmp
20.09.2005 13:08 16.384 ~DF99CE.tmp
20.09.2005 13:08 16.384 Perflib_Perfdata_188.dat
19.09.2005 11:18 16.384 ~DFF7A1.tmp
19.09.2005 11:17 16.384 Perflib_Perfdata_140.dat
18.09.2005 09:46 16.384 ~DF8C03.tmp
18.09.2005 09:46 16.384 Perflib_Perfdata_4ec.dat
17.09.2005 11:04 16.384 ~DF25F0.tmp
17.09.2005 11:04 16.384 Perflib_Perfdata_a28.dat
16.09.2005 20:14 16.384 ~DF1E17.tmp
16.09.2005 10:08 16.384 ~DF19D.tmp
15.09.2005 22:40 16.384 ~DFB3ED.tmp
15.09.2005 19:17 16.384 ~DFF470.tmp
15.09.2005 19:09 16.384 ~DF9871.tmp
14.09.2005 18:20 16.384 ~DF42CA.tmp
13.09.2005 10:48 16.384 ~DF91A.tmp
12.09.2005 10:27 16.384 ~DF36C.tmp
12.09.2005 10:27 16.384 Perflib_Perfdata_638.dat
11.09.2005 09:52 16.384 ~DFEF28.tmp
11.09.2005 09:51 16.384 Perflib_Perfdata_1f8.dat
10.09.2005 15:59 1.014 AUDIO.GIF
10.09.2005 15:59 1.065 IMAGE.GIF
10.09.2005 15:59 1.042 COPY.GIF
10.09.2005 15:59 1.008 VIDEO.GIF
10.09.2005 15:59 1.081 ALBUM.GIF
10.09.2005 15:59 1.052 DATA.GIF
10.09.2005 11:55 16.384 ~DF1EF0.tmp
09.09.2005 09:33 16.384 ~DFDF23.tmp
09.09.2005 09:32 16.384 Perflib_Perfdata_284.dat
08.09.2005 09:48 16.384 ~DFE2D2.tmp
07.09.2005 13:39 16.384 ~DF6FF0.tmp
07.09.2005 13:39 16.384 Perflib_Perfdata_1c0.dat
06.09.2005 19:57 16.384 ~DF7C2E.tmp
06.09.2005 19:54 16.384 Perflib_Perfdata_3c0.dat
06.09.2005 13:48 16.384 ~DF5FD6.tmp
06.09.2005 13:47 16.384 Perflib_Perfdata_78c.dat
05.09.2005 22:11 16.384 ~DFE8C4.tmp
05.09.2005 12:54 16.384 ~DF2DD5.tmp
03.09.2005 12:06 16.384 ~DF8A65.tmp
03.09.2005 12:06 16.384 Perflib_Perfdata_330.dat
02.09.2005 18:35 49.152 ~DFF9D7.tmp
02.09.2005 12:37 137.864 2293.waf
01.09.2005 19:33 5.553 $RX22.tmp
01.09.2005 19:31 16.384 ~DF5303.tmp
01.09.2005 19:23 49.152 ~DF149B.tmp
01.09.2005 19:03 16.384 ~DFC890.tmp
01.09.2005 18:58 49.152 ~DF83F2.tmp
01.09.2005 18:52 16.384 ~DF7286.tmp
01.09.2005 17:09 16.384 ~DFF3E4.tmp
01.09.2005 17:06 51.864 b16c_appcompat.txt
01.09.2005 11:34 16.384 ~DFFB54.tmp
31.08.2005 20:13 5.553 $RX2E5.tmp
31.08.2005 20:11 5.553 $RX2E1.tmp
31.08.2005 19:50 5.553 $RX2DB.tmp
31.08.2005 19:49 5.553 $RX2D9.tmp
30.08.2005 22:15 5.553 $RX1DB.tmp
30.08.2005 21:54 16.384 ~DFF45D.tmp
30.08.2005 21:48 5.553 $RX1C4.tmp
30.08.2005 21:45 5.553 $RX1BE.tmp
30.08.2005 19:19 10.538 control.xml
30.08.2005 14:02 16.384 ~DF3F2A.tmp
30.08.2005 13:17 16.384 ~DF2641.tmp
29.08.2005 14:54 5.553 $RX39.tmp
29.08.2005 12:38 16.384 ~DF14E6.tmp
29.08.2005 11:57 16.384 ~DFC7E4.tmp
28.08.2005 10:46 16.384 ~DF788B.tmp
28.08.2005 10:44 16.384 Perflib_Perfdata_6d0.dat
28.08.2005 10:35 16.384 ~DF4303.tmp
28.08.2005 02:03 16.384 ~DF3B97.tmp
28.08.2005 00:44 16.384 ~DF94CB.tmp
28.08.2005 00:42 16.384 Perflib_Perfdata_6c4.dat
27.08.2005 15:40 16.384 ~DFD6B7.tmp
26.08.2005 21:41 16.384 ~DF99BC.tmp
26.08.2005 20:10 13.683 h2r289.tmp
26.08.2005 16:54 81.920 ~DFDD44.tmp
26.08.2005 15:28 1.024 lilo2
26.08.2005 14:37 13.639 h2r7E.tmp
26.08.2005 12:24 16.384 ~DF9268.tmp
26.08.2005 12:21 16.384 ~DFC9BF.tmp
26.08.2005 12:21 16.384 Perflib_Perfdata_680.dat
25.08.2005 14:02 16.384 ~DFC18.tmp
25.08.2005 14:02 16.384 Perflib_Perfdata_75c.dat
25.08.2005 13:30 16.384 ~DF836D.tmp
25.08.2005 00:44 49.152 ~DF6DE9.tmp
24.08.2005 11:45 16.384 ~DFA95C.tmp
24.08.2005 09:15 16.384 ~DF2D82.tmp
24.08.2005 09:15 16.384 Perflib_Perfdata_280.dat
22.08.2005 18:57 16.384 ~DFC5AC.tmp
22.08.2005 18:34 49.152 ~DFD488.tmp
22.08.2005 18:29 5.553 $RX28.tmp
22.08.2005 18:25 5.553 $RX25.tmp
22.08.2005 18:24 5.553 $RX23.tmp
22.08.2005 18:24 16.384 ~DFECCE.tmp
22.08.2005 18:23 16.384 Perflib_Perfdata_6e0.dat
22.08.2005 18:04 5.553 $RX6A.tmp
22.08.2005 16:56 5.553 $RX66.tmp
22.08.2005 16:50 5.553 $RX5E.tmp
22.08.2005 16:45 3.550 30dd_appcompat.txt
22.08.2005 15:57 5.553 $RX59.tmp
22.08.2005 15:55 5.553 $RX57.tmp
22.08.2005 15:52 5.553 $RX54.tmp
22.08.2005 13:55 5.553 $RX2D.tmp
22.08.2005 13:53 16.384 ~DF2AE5.tmp
22.08.2005 13:53 16.384 Perflib_Perfdata_248.dat
22.08.2005 13:17 5.553 $RX36.tmp
22.08.2005 11:27 5.553 $RX16.tmp
22.08.2005 11:26 16.384 ~DF6065.tmp
22.08.2005 11:20 44.544 37ec48d.mst
22.08.2005 11:18 44.544 37d771d.mst
22.08.2005 09:20 5.553 $RXC7.tmp
22.08.2005 09:18 5.553 $RXC4.tmp
21.08.2005 22:59 49.152 ~DF31CC.tmp
21.08.2005 19:27 16.384 ~DF79D7.tmp
21.08.2005 14:54 49.152 ~DFFDD5.tmp
21.08.2005 00:53 16.384 ~DF41DE.tmp
21.08.2005 00:53 16.384 Perflib_Perfdata_540.dat
21.08.2005 00:47 16.384 ~DF48CB.tmp
21.08.2005 00:39 16.384 Perflib_Perfdata_da0.dat
21.08.2005 00:25 16.384 ~DFA244.tmp
21.08.2005 00:13 49.152 ~DF3CD3.tmp
21.08.2005 00:08 16.384 ~DFD266.tmp
20.08.2005 15:42 16.384 ~DF162D.tmp
17.08.2005 02:14 81.920 ~DFA86D.tmp
16.08.2005 23:23 16.384 ~DF2AB4.tmp
16.08.2005 17:01 16.384 ~DF9A8D.tmp
16.08.2005 15:04 16.384 ~DFF0C2.tmp
16.08.2005 04:03 51 15CB4D28.TMP
15.08.2005 23:42 81.920 ~DFBD42.tmp
15.08.2005 23:27 16.384 ~DFDCD7.tmp
15.08.2005 22:07 5.553 $RX21.tmp
15.08.2005 21:37 16.384 ~DF52CE.tmp
15.08.2005 21:36 16.384 ~DF8F94.tmp
15.08.2005 21:24 81.920 ~DFBD68.tmp
15.08.2005 21:00 16.384 ~DF6C75.tmp
15.08.2005 20:59 16.384 ~DF53AD.tmp
15.08.2005 18:42 16.384 ~DF8773.tmp
15.08.2005 17:48 49.152 ~DF8947.tmp
15.08.2005 17:46 16.384 ~DFB682.tmp
15.08.2005 17:23 16.384 ~DF557D.tmp
15.08.2005 16:06 16.384 ~DF22A3.tmp
15.08.2005 12:07 5.553 $RX20A.tmp
15.08.2005 11:44 5.553 $RX1FE.tmp
15.08.2005 00:45 5.553 $RX1D3.tmp
14.08.2005 13:05 16.384 ~DFCD38.tmp
14.08.2005 11:30 5.553 $RX1F.tmp
14.08.2005 11:30 16.384 ~DF53E.tmp
14.08.2005 11:30 16.384 Perflib_Perfdata_7fc.dat
14.08.2005 11:30 16.384 Perflib_Perfdata_128.dat
13.08.2005 23:09 5.553 $RXBC.tmp
13.08.2005 23:07 5.553 $RXBA.tmp
13.08.2005 10:49 16.384 ~DF43AA.tmp
13.08.2005 10:49 16.384 Perflib_Perfdata_7cc.dat
13.08.2005 10:48 16.384 Perflib_Perfdata_198.dat
13.08.2005 06:40 5.553 $RX3F0.tmp
12.08.2005 16:00 5.553 $RX20.tmp
12.08.2005 15:58 5.553 $RX1D.tmp
12.08.2005 15:46 16.384 ~DF1667.tmp
12.08.2005 15:46 16.384 Perflib_Perfdata_2a0.dat
12.08.2005 15:34 16.384 ~DFBF7B.tmp
12.08.2005 15:34 16.384 Perflib_Perfdata_628.dat


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C31-97FB

Verzeichnis von C:\WINDOWS

22.09.2005 12:22 0 0.log
22.09.2005 12:21 157 wiadebug.log
22.09.2005 12:21 50 wiaservc.log
22.09.2005 12:21 2.048 bootstat.dat
22.09.2005 12:19 32.582 SchedLgU.Txt
22.09.2005 12:19 660.362 WindowsUpdate.log
02.09.2005 12:37 201 WOC_CDDA.ini
02.09.2005 12:37 2.463 cddabase.ini
01.09.2005 19:00 861.128 setupapi.log
30.08.2005 19:19 13.317 wmsetup.log
28.08.2005 10:41 306.101 iis6.log
28.08.2005 10:41 88.118 comsetup.log
28.08.2005 10:41 52.605 ntdtcsetup.log
28.08.2005 10:41 13.236 ocmsn.log
28.08.2005 10:41 11.013 tabletoc.log
28.08.2005 10:41 111.443 tsoc.log
28.08.2005 10:41 1.374 imsins.log
28.08.2005 10:41 19.223 KB899587.log
28.08.2005 10:41 17.335 medctroc.Log
28.08.2005 10:41 123.475 ocgen.log
28.08.2005 10:41 38.213 netfxocm.log
28.08.2005 10:41 11.894 msgsocm.log
28.08.2005 10:41 226.596 FaxSetup.log
28.08.2005 10:41 81.122 msmqinst.log
28.08.2005 10:41 11.651 updspapi.log
28.08.2005 10:41 1.374 imsins.BAK
28.08.2005 10:41 18.726 KB899591.log
28.08.2005 10:40 18.841 KB893756.log
28.08.2005 10:40 17.891 KB896423.log
28.08.2005 10:40 18.829 KB896727.log
28.08.2005 10:40 13.640 KB899588.log
28.08.2005 10:39 13.390 KB894391.log
21.08.2005 23:06 1.275 DirectX.log
26.07.2005 02:10 32 thxcfg.ini
26.07.2005 01:35 11.105 KB887742.log
26.07.2005 01:35 10.500 KB887472.log
26.07.2005 01:35 11.746 KB901214.log
26.07.2005 01:35 7.141 KB898461.log
26.07.2005 01:35 3.991 KB903235.log
26.07.2005 01:35 5.715 KB886185.log
26.07.2005 01:28 8.021 KB893803v2.log
22.07.2005 20:39 231 system.ini
22.07.2005 19:57 5.007 process.txt
20.07.2005 19:29 835 win.ini




Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C31-97FB

Verzeichnis von C:\

22.09.2005 16:15 0 sys.txt
22.09.2005 16:14 7.183 system.txt
22.09.2005 16:11 468.881 systemtemp.txt
22.09.2005 16:10 107.327 system32.txt
22.09.2005 15:06 0 23990098.$$$
22.09.2005 15:06 6 AVPCallback.log
22.09.2005 13:37 590 abc.lnk
22.09.2005 12:20 754.974.720 pagefile.sys
20.07.2005 21:22 161 TO_InstallLog.txt
26.06.2005 12:38 4.155 TDSLCheck.txt
04.06.2005 23:12 211 boot.ini
04.06.2005 23:06 47.564 NTDETECT.COM
04.06.2005 23:06 251.184 ntldr
04.06.2005 22:37 0 MSDOS.SYS
04.06.2005 22:37 0 AUTOEXEC.BAT
04.06.2005 22:37 0 CONFIG.SYS
04.06.2005 22:37 0 IO.SYS
18.08.2001 14:00 4.952 bootfont.bin
18 Datei(en) 755.866.934 Bytes
0 Verzeichnis(se), 19.016.830.976 Bytes frei


ich hoffe, dass ich das richtig gemacht habe...
lg :-)
Seitenanfang Seitenende
22.09.2005, 16:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

dann starte den PC neu, escan muesste loeschen, was du zugefuegt hast.

Zitat

Sollte abschließend ein erneuter Scan mit eScan durchgeführt werden, dann ist es zwingend notwendig, daß die 'mwav.log' zuvor gelöscht wird, da diese nicht überschrieben, sondern nur erweitert wird!
ueberpruefen: noch mal mit escan scannen.

(in den Dateien habe ich nichts gefunden, nur...mit IncrediMail sollte man nicht arbeiten...ist nicht sicher und hat Spyware....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende