Home » Viren, Trojaner & Malware Forum » TR/Dlder.Swizzor.Do.1 Antivir Endeckte Den Nicht!!! blau gefärbte Dateien » Themenansicht

TR/Dlder.Swizzor.Do.1 Antivir Endeckte Den Nicht!!! blau gefärbte Dateien
#0
18.10.2005, 08:04
nemidanem
Member

Beiträge: 11
#1 Hallo Leute,

1 Frage

ich hab heute mal ein Hijackthis gemacht und hab mal so im c /speicher bei programmen geguckt ob eine datei im richtigen ordner ist. War es nicht wie der hijackthis meinte der.
Aber dachte auch naja.
Dann guckte ich mal unter programme, bei einem Ordner der an zweiter stelle war, was das ist da mir das so ziemlich unbekannt war.
Der Ordner hieß: "Adverts" Ich öffnete Ihn und siehe da der antivir schlägt alarm. in dem ordener war ne exe datei es hieß "uninstall" oder "uninstall.exe" weiss net mehr genau wie es sich schrieb.
Das war ein schreck um 5 uhr früh!
Hatte ich ja gar nicht erwartet gehabt!
Naja ich hab gleich betroffene datei löschen gemacht.
Zumal mir das komisch erschien, da ich ja als den antivir drüber laufen lassen habe und aktualisiere auch immer per update!
Ich weiss auch gar nicht wie lange der da steckt also den pc hab ich 6 monaten wenn dann so lange. Wieso merkte der antivir den nie?
naja ich gleich alle ordenr nach der reihe geöffnet ob noch mer so kram ist. Kam aber nix mehr unter programme.
Der Antivir spuckte das der Virus TR/Dlder.Swizzor.Do.1 hieße!
Das internet sagt nichts mir über dieses schädling.

-- Habt Ihr ne ahnung bin ich das ding los?

-- Was ist das für ein Virus?

-- Wieso merkte antivir nie das es existiert?


2 Fage!
Hat jemand eine Ideee warum bei mir so manche datein blau anstatt wie normal schwarz sind.
Zb. musikdatein, editor datein, word datein, programm dateien und ne menge dateien.
3 Frage
Sorry noch ne Frage hat jemand ne ahnung warum mir so seit geraumer zeit emails kommen die ich als absender gar nicht kenne. so spam kake. irgendwelche assis voll viele jeden Tag ca 5 stück.
Normalerweise benutze ich diesen email adresse nur privat. Das ist mein Outlook.


Als letztes poste ich mal mein hijackthis
Das 1. vor dem löschen diesem komischen virus und das 2. nach dem löschen! Vielleicht hiolf das ja! Vielen Dank dann im vorraus bin mir sicher ihr könnt mir weiter helfen.
---------------------------------------------------------------------------


1. vor dem löschen diesem virus

Logfile of HijackThis v1.99.1
Scan saved at 06:04:38, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\GelinciK\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by2fd.bay2.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


---------------------------------------------------------------------------

2. nach dem löschen des virus

Logfile of HijackThis v1.99.1
Scan saved at 08:05:33, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GelinciK\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by2fd.bay2.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Bitte wenn ich was machen soll scannen mit irgendwelchen Programmen bitte immer ein link angeben und beschreiben wie ich das machen soll. zb abgesicherter modus oder so. Ich hab null ahnung! Vielen Dank nochmal
Dieser Beitrag wurde am 18.10.2005 um 08:14 Uhr von nemidanem editiert.
Seitenanfang Seitenende
18.10.2005, 14:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@nemidanem

solange du das installiert hast, wird es immer probleme geben (ich verstehe nicht, wie man sowas laden kann....)
C:\Programme\MessengerPlus! 3\MsgPlus.exe

escan (hier siehst du alles, was noch infiziert ist) --> poste den scanbericht
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.10.2005, 16:58
nemidanem
Member

Themenstarter

Beiträge: 11
#3 hallo @Sabina,
ein problem gibt es kannst du mir sagen wo ich denn escan runterladen kann? Der LInk wo orginale quelle steht funktioniert nicht! manchmal geht dann die seite auf und ich kann den escan nicht herunterladen. Woran liegt es kannst du mir ein enderen link geben? Oder mach ich was falsch

Könntest du mir auch sagen warum der msgplus! so schlecht? Ist der der Grund das mein Pc viren bekommen hat? Was macht es denn. Eine sicherheitslücke oder öffnet er eine Tür oder was. Wäre echt lieb wenn du mir das sagen könntest

Außerdem ich hab den gelöscht! also bei software.
Dieser Beitrag wurde am 18.10.2005 um 22:27 Uhr von nemidanem editiert.
Seitenanfang Seitenende
19.10.2005, 01:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 das ist die Originalquelle vom escan, versuche es noch mal, wenn es nicht klappt, poste ich dir einen anderen Link
http://www32.brinkster.com/idontknowit/download/

der Messenger ist Schuld an der LOP-Verseuchung/Trojaner TR/Swizzor....
http://virus-protect.org/artikel/spyware/lop.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.10.2005, 01:27
nemidanem
Member

Themenstarter

Beiträge: 11
#5 Hallo@sabina

ich hatte vorher keine zeit den escan zu machen hab den grad gemacht. Sabina ich hatte ja gefragt was der mns plus macht du hast mir ja ein link gesendet, muss ich das alles was da drin steht auch machen?
Das sieht sehr hart aus 40 tage irgend was machen ist ja der hammer.
weiter hab ich noch nicht gelesen.
Ich wollte erst nochmal fragen!. Falls ich dann noch was machen soll du sagst mir das dann noch ok?! Bis dann danke auch noch allein hätte ich das nie geschafft.

Habe alles wie beschrieben gemacht, und warte auf Antwort!


Also der escan sagt:


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Oct 20 00:50:46 2005 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken.
2: Thu Oct 20 00:50:46 2005 => System found infected with hotbar Spyware/Adware ({b195b3b3-8a05-11d3-97a4-0004aca6948e})! Action taken: No Action Taken.
3: Thu Oct 20 00:50:46 2005 => System found infected with hotbar Spyware/Adware ({17719b53-fad1-11d4-a466-00508b5ba2df})! Action taken: No Action Taken.
4: Thu Oct 20 00:50:46 2005 => System found infected with hotbar Spyware/Adware ({17719b54-fad1-11d4-a466-00508b5ba2df})! Action taken: No Action Taken.
5: Thu Oct 20 00:50:46 2005 => System found infected with hotbar Spyware/Adware ({3103e312-e1bb-49ab-80eb-0a92fca78746})! Action taken: No Action Taken.
6: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({3f04cbf7-cd62-4403-b090-b432dedcb159})! Action taken: No Action Taken.
7: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({7138714c-9819-4ab1-9a86-e7c413c9a99e})! Action taken: No Action Taken.
8: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({7e33bc81-0818-11d5-b50d-00d0b77f0a6d})! Action taken: No Action Taken.
9: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({8578d35e-c6c0-4808-9a80-0f6c29a2c423})! Action taken: No Action Taken.
10: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({927420a3-7259-4a74-b402-9329177ec3fc})! Action taken: No Action Taken.
11: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({bc190da5-0187-4d99-b3ac-6c45ea1b9324})! Action taken: No Action Taken.
12: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({da603411-0593-11d5-a46b-00508b5ba2df})! Action taken: No Action Taken.
13: Thu Oct 20 00:50:47 2005 => System found infected with hotbar Spyware/Adware ({f64b26c1-07de-11d5-b50d-00d0b77f0a6d})! Action taken: No Action Taken.
14: Thu Oct 20 00:51:04 2005 => Offending file found: C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\anwendungsdaten\im\runtime\emoticoncenter\new.gif
15: Thu Oct 20 00:51:04 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken.
16: Thu Oct 20 00:51:06 2005 => Offending file found: C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\temporary internet files\content.ie5\ratcm56g\show_ads[2].js
17: Thu Oct 20 00:51:06 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
18: Thu Oct 20 00:51:06 2005 => Offending file found: C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\Anwendungsdaten\im\runtime\emoticoncenter\new.gif
19: Thu Oct 20 00:51:06 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken.
20: Thu Oct 20 00:51:07 2005 => Offending file found: C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\Temporary Internet Files\content.ie5\ratcm56g\show_ads[2].js
21: Thu Oct 20 00:51:07 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
22: Thu Oct 20 00:51:09 2005 => Offending file found: C:\WINDOWS\iun6002.exe
23: Thu Oct 20 00:51:09 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
24: Thu Oct 20 00:58:44 2005 => File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\PROGRAMME\passwfi.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus! Action Taken: No Action Taken.
25: Thu Oct 20 01:11:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
26: Thu Oct 20 01:20:48 2005 => File C:\System Volume Information\_restore{5B1FC742-A5ED-4DFE-8DEE-CC8EF8AEC707}\RP103\A0025713.exe infected by "Trojan-Downloader.Win32.Swizzor.do" Virus! Action Taken: No Action Taken.

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Thu Oct 20 01:04:28 2005 => Scanning File C:\MAGIX\Digital_Foto_Maker_2005_SE\Icons\Tagged Image File Format.ico [**]

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Oct 20 00:51:12 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\imcv1.dll". Action Taken: No Action Taken.
2: Thu Oct 20 00:51:12 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\NpFv412.dll". Action Taken: No Action Taken.
3: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton AntiVirus\". Action Taken: No Action Taken.
4: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\". Action Taken: No Action Taken.
5: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Norton SystemWorks\Norton Ghost\". Action Taken: No Action Taken.
6: Thu Oct 20 00:51:15 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".04". Action Taken: No Action Taken.
7: Thu Oct 20 00:51:15 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sdf". Action Taken: No Action Taken.
8: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "YInstHelper". Action Taken: No Action Taken.
9: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{0496D9E8-224B-4AFA-8F37-23B98D52F1EB}". Action Taken: No Action Taken.
10: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{29D45189-1851-11D3-8FED-27C34F1DD778}". Action Taken: No Action Taken.
11: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{43C3D832-AC96-463A-2003-1B8D1BFA2523}". Action Taken: No Action Taken.
12: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{89A344E4-A54B-4C5E-97BD-040B4B300816}". Action Taken: No Action Taken.
13: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600777}". Action Taken: No Action Taken.
14: Thu Oct 20 00:51:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600816}". Action Taken: No Action Taken.
15: Thu Oct 20 00:55:38 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Askin Yakar Efendim.LNK: Scanning Failure!!!
16: Thu Oct 20 00:55:38 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Askin Yakar Efendim.LNK
17: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Egitim.LNK: Scanning Failure!!!
18: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Egitim.LNK
19: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\MILLÎ EGITIM BAKANLIGI.LNK: Scanning Failure!!!
20: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\MILLÎ EGITIM BAKANLIGI.LNK
21: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\SAYIN VELILER LÜTFEN OKUYUNUZ.LNK: Scanning Failure!!!
22: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\SAYIN VELILER LÜTFEN OKUYUNUZ.LNK
23: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Son Sigarayi Iste Böyle Söndürdüm.LNK: Scanning Failure!!!
24: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Son Sigarayi Iste Böyle Söndürdüm.LNK
25: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\ögret-ögrenci- veli iliskileri.LNK: Scanning Failure!!!
26: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\ögret-ögrenci- veli iliskileri.LNK
27: Thu Oct 20 00:55:39 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\ILAHILER YENI OLAN.LNK: Scanning Failure!!!
28: Thu Oct 20 00:55:39 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\ILAHILER YENI OLAN.LNK
29: Thu Oct 20 00:56:26 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\ALLGEMEIN\Son Sigarayi Iste Böyle Söndürdüm.doc: Scanning Failure!!!
30: Thu Oct 20 00:56:26 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\ALLGEMEIN\Son Sigarayi Iste Böyle Söndürdüm.doc
31: Thu Oct 20 00:56:27 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\AYET, DUA, ILAHI, VE SIIR SÖZLERI\Askin Yakar Efendim.doc: Scanning Failure!!!
32: Thu Oct 20 00:56:27 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\AYET, DUA, ILAHI, VE SIIR SÖZLERI\Askin Yakar Efendim.doc
33: Thu Oct 20 00:56:28 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Can Sevdigim.doc: Scanning Failure!!!
34: Thu Oct 20 00:56:28 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Can Sevdigim.doc
35: Thu Oct 20 00:56:29 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Müzik Liste\Oyun Havalari & Oryantal EYLÜL 2004.doc: Scanning Failure!!!
36: Thu Oct 20 00:56:29 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Müzik Liste\Oyun Havalari & Oryantal EYLÜL 2004.doc
37: Thu Oct 20 00:56:30 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Müzik Liste\ILAHILER YENI OLAN.doc: Scanning Failure!!!
38: Thu Oct 20 00:56:30 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\ALLGEMEIN TEXTE\Müzik Liste\ILAHILER YENI OLAN.doc
39: Thu Oct 20 01:01:41 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Recent\Can Sevdigim.lnk: Scanning Failure!!!
40: Thu Oct 20 01:01:41 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Recent\Can Sevdigim.lnk
41: Thu Oct 20 01:01:43 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\GelinciK\Recent\Mesut Simsek-Affet Allahim!!s.lnk: Scanning Failure!!!
42: Thu Oct 20 01:01:43 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\GelinciK\Recent\Mesut Simsek-Affet Allahim!!s.lnk
43: Thu Oct 20 01:22:36 2005 => Result: ERROR!!! File C:\System Volume Information\_restore{5B1FC742-A5ED-4DFE-8DEE-CC8EF8AEC707}\RP115\A0027376.exe is Not Scanned

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\PROGRAMME\passwfi.exe => Trojan-Spy.Win32.Qeds.a
2: C:\System Volume Information\_restore{5B1FC742-A5ED-4DFE-8DEE-CC8EF8AEC707}\RP103\A0025713.exe => Trojan-Downloader.Win32.Swizzor.do

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Oct 20 01:40:51 2005 => Total Objects Scanned: 81850
Thu Oct 20 01:40:51 2005 => Total Virus(es) Found: 25
Thu Oct 20 01:40:51 2005 => Total Errors: 29
Thu Oct 20 01:40:51 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 01:40:51 2005 => Virus Database Count: 155092




Sabina ich hab zwei rechner zu hause ich hab das selbe schema mal bei dem anderen gemacht. Also den e-scan. Wärst du so lieb und würdest den auch auswerten.Bitte


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Oct 20 03:11:02 2005 => File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\passwfi.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus! Action Taken: No Action Taken.
2: Thu Oct 20 03:18:20 2005 => System found infected with funweb Spyware/Adware ({147a976f-eee1-4377-8ea7-4716e4cdd239})! Action taken: No Action Taken.
3: Thu Oct 20 03:18:39 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\0hubsdef\global[1].js
4: Thu Oct 20 03:18:39 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
5: Thu Oct 20 03:18:41 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\0pm7g1uf\global[1].js
6: Thu Oct 20 03:18:41 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
7: Thu Oct 20 03:18:47 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\2n7bhcfw\blank[1].htm
8: Thu Oct 20 03:18:47 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
9: Thu Oct 20 03:18:50 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\49izk1yj\common[1].js
10: Thu Oct 20 03:18:50 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
11: Thu Oct 20 03:18:51 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\49izk1yj\global[1].js
12: Thu Oct 20 03:18:51 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
13: Thu Oct 20 03:18:55 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\4w8wki3p\global[1].js
14: Thu Oct 20 03:18:55 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
15: Thu Oct 20 03:18:56 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\4xif45ur\common[1].js
16: Thu Oct 20 03:18:56 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
17: Thu Oct 20 03:19:05 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\8xk7wr4v\common[1].js
18: Thu Oct 20 03:19:05 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
19: Thu Oct 20 03:19:15 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\gpsv8f8r\show_ads[2].js
20: Thu Oct 20 03:19:15 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
21: Thu Oct 20 03:19:20 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\k1ezkxur\common[1].js
22: Thu Oct 20 03:19:20 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
23: Thu Oct 20 03:19:21 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\s5q3chen\common[1].js
24: Thu Oct 20 03:19:21 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
25: Thu Oct 20 03:19:22 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\temporary internet files\content.ie5\s5q3chen\mm_menu[1].js
26: Thu Oct 20 03:19:22 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken.
27: Thu Oct 20 03:19:27 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\0hubsdef\global[1].js
28: Thu Oct 20 03:19:27 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
29: Thu Oct 20 03:19:27 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\0pm7g1uf\global[1].js
30: Thu Oct 20 03:19:27 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
31: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\2n7bhcfw\blank[1].htm
32: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken.
33: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\49izk1yj\common[1].js
34: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
35: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\49izk1yj\global[1].js
36: Thu Oct 20 03:19:28 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
37: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\4w8wki3p\global[1].js
38: Thu Oct 20 03:19:28 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken.
39: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\4xif45ur\common[1].js
40: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
41: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\8xk7wr4v\common[1].js
42: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
43: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\gpsv8f8r\show_ads[2].js
44: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken.
45: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\k1ezkxur\common[1].js
46: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
47: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\s5q3chen\common[1].js
48: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
49: Thu Oct 20 03:19:28 2005 => Offending file found: C:\Dokumente und Einstellungen\cemal\Lokale Einstellungen\Temporary Internet Files\content.ie5\s5q3chen\mm_menu[1].js
50: Thu Oct 20 03:19:28 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken.
51: Thu Oct 20 03:19:30 2005 => Offending file found: C:\WINDOWS\iun6002.exe
52: Thu Oct 20 03:19:30 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
53: Thu Oct 20 03:34:02 2005 => File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\passwfi.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus! Action Taken: No Action Taken.
54: Thu Oct 20 03:52:42 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Thu Oct 20 03:10:58 2005 => File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\incredimail_install.exe tagged as not-a-virus;)ownloader.Win32.ImLoader.b. No Action Taken.
2: Thu Oct 20 03:34:00 2005 => File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\incredimail_install.exe tagged as not-a-virus;)ownloader.Win32.ImLoader.b. No Action Taken.
3: Thu Oct 20 04:07:06 2005 => File C:\System Volume Information\_restore{10EB3687-DD1B-44C7-921C-FBB329EB6F09}\RP57\A0011853.DLL tagged as "not-a-virus:AdWare.Win32.MySearch.g". Action Taken: No Action Taken.
4: Thu Oct 20 04:07:06 2005 => File C:\System Volume Information\_restore{10EB3687-DD1B-44C7-921C-FBB329EB6F09}\RP57\A0011864.dll tagged as "not-a-virus:AdWare.Win32.MySearch.g". Action Taken: No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Oct 20 03:08:53 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\aawsepersonal03.exe is Not Scanned
2: Thu Oct 20 03:15:07 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\Oyun Havalari & Oryantal EYLÜL 2004.doc: Scanning Failure!!!
3: Thu Oct 20 03:15:07 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\Oyun Havalari & Oryantal EYLÜL 2004.doc
4: Thu Oct 20 03:15:07 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\ILAHILER YENI OLAN.doc: Scanning Failure!!!
5: Thu Oct 20 03:15:07 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\ILAHILER YENI OLAN.doc
6: Thu Oct 20 03:18:13 2005 => ERROR!!! Invalid Entry system32\DRIVERS\RT2500.sys in SYSTEM\CurrentControlSet\Services\RT2500...
7: Thu Oct 20 03:18:13 2005 => ERROR!!! Invalid Entry system32\DRIVERS\ArtecGT.sys in SYSTEM\CurrentControlSet\Services\SampleScanner...
8: Thu Oct 20 03:19:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/html/". Action Taken: No Action Taken.
9: Thu Oct 20 03:19:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".de/html/slesh/". Action Taken: No Action Taken.
10: Thu Oct 20 03:19:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lsc". Action Taken: No Action Taken.
11: Thu Oct 20 03:19:36 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".wds". Action Taken: No Action Taken.
12: Thu Oct 20 03:19:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "HijackThis". Action Taken: No Action Taken.
13: Thu Oct 20 03:19:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{0496D9E8-224B-4AFA-8F37-23B98D52F1EB}". Action Taken: No Action Taken.
14: Thu Oct 20 03:19:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600777}". Action Taken: No Action Taken.
15: Thu Oct 20 03:19:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{ABEB838C-A1A7-4C5D-B7E1-8B4314600813}". Action Taken: No Action Taken.
16: Thu Oct 20 03:19:37 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{EC86822D-3A20-11D5-801B-00E029348F40}". Action Taken: No Action Taken.
17: Thu Oct 20 03:19:41 2005 => Entry "HKCR\.pud" refers to invalid object "War2Edit.Scenario". Action Taken: No Action Taken.
18: Thu Oct 20 03:19:42 2005 => Entry "HKCR\CHROME\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
19: Thu Oct 20 03:19:42 2005 => Entry "HKCR\FirefoxHTML\shell\open\command" refers to invalid object "C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"". Action Taken: No Action Taken.
20: Thu Oct 20 03:33:56 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\aawsepersonal03.exe is Not Scanned
21: Thu Oct 20 03:37:55 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\Oyun Havalari & Oryantal EYLÜL 2004.doc: Scanning Failure!!!
22: Thu Oct 20 03:37:56 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\Oyun Havalari & Oryantal EYLÜL 2004.doc
23: Thu Oct 20 03:37:56 2005 => Result: ERROR!!! File C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\ILAHILER YENI OLAN.doc: Scanning Failure!!!
24: Thu Oct 20 03:37:56 2005 => ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\cemal\Desktop\ILAHILER\Z WORD Z\ILAHILER YENI OLAN.doc

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\incredimail_install.exe => tagged;)ownloader.Win32.ImLoader.b.
2: C:\Dokumente und Einstellungen\cemal\Desktop\Cemal dateien\programme\passwfi.exe => Trojan-Spy.Win32.Qeds.a

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Oct 20 04:36:09 2005 => Total Objects Scanned: 107226
Thu Oct 20 04:36:09 2005 => Total Virus(es) Found: 37
Thu Oct 20 04:36:10 2005 => Total Errors: 20
Thu Oct 20 04:36:10 2005 => Virus Database Date: 2005/10/20
Thu Oct 20 04:36:10 2005 => Virus Database Count: 155111
Dieser Beitrag wurde am 20.10.2005 um 04:57 Uhr von nemidanem editiert.
Seitenanfang Seitenende
20.10.2005, 13:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Rechner Nummer 1:

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

PC neustarten

deinstallieren:
incredimail
MessengerPlus3
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
KILLBOX
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken

reinkopieren:

C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\anwendungsdaten\im\runtime\emoticoncenter\new.gif
C:\System Volume Information\_restore{5B1FC742-A5ED-4DFE-8DEE-CC8EF8AEC707}\RP103\A0025713.exe
C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\PROGRAMME\passwfi.exe
C:\WINDOWS\iun6002.exe

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"


PC neustarten

C:\Dokumente und Einstellungen\GelinciK\Lokale Einstellungen\anwendungsdaten\im\runtime\emoticoncenter <--loeschen

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.10.2005, 01:12
nemidanem
Member

Themenstarter

Beiträge: 11
#7 Hallo@sabina

ich hab alles gemacht wie beschrieben. Ich hoffe auch richtig!
Das Letzte was ich machen sollte mit der bat datei.
Als ich drauf geklickt habe kam so ein schwarzes fenster
C:\WINDOWS\system32\cmd.exe
da stand drin:

C:\Dokumente und Einstellungen\GelinciK\Desktop>dir C:\Windows\task /a h 1>files.text
Datei nicht gefunden

C:\Dokumente und Einstellungen\GelinciK\Desktop>notepad files.text

Aber der editor wie du sagtest öffnete sich mit dem text drin den unten rein kpiert habe, nur das schwarze Fenster kam dazu!
Kann ich die wieder löschen vom Desktop? Oder brauche ich die noch?



Datentr„ger in Laufwerk C: ist 413892
Volumeseriennummer: 4400-62CB

Verzeichnis von C:\WINDOWS\tasks

05.04.2005 03:11 <DIR> .
05.04.2005 03:11 <DIR> ..
29.07.2005 17:15 402 1-Klick-Wartung.job
04.08.2004 14:00 65 desktop.ini
21.10.2005 00:41 6 SA.DAT
3 Datei(en) 473 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\GelinciK\Desktop
Dieser Beitrag wurde am 21.10.2005 um 01:14 Uhr von nemidanem editiert.
Seitenanfang Seitenende
21.10.2005, 01:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 scanne bitte mit Counterspy,
http://virus-protect.org/counterspy.html
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu -->poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.10.2005, 01:43
nemidanem
Member

Themenstarter

Beiträge: 11
#9 ich hab es runtergelden aber da kamen nicht so dinge wie es bebildert war. Ich hab es gescannt und unten ist der Bericht!

Außerdem mein Antivir macht keine update's mehr mitten drin hört es auf!!!!
Hat das was mit dem counterspy zutun.

Ich hab den wieder deinstalliert aber Trozdem macht es keine update mehr!

Hier der scan bericht
------------------------


Spyware Scan Details
Start Date: 21.10.2005 01:48:23
End Date: 21.10.2005 02:04:35
Total Time: 16 mins 12 secs

Detected spyware

Hotbar Adware more information...
Details: Hotbar is promoted as an application that adds graphical skins to Internet Explorer toolbars and outlook/ Outlook Express, and also adds its own toolbar. It monitors all URLs you visit to add link buttons to its toolbar dependent on the site you are
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\interface\{17719b54-fad1-11d4-a466-00508b5ba2df}
HKEY_CLASSES_ROOT\interface\{17719b54-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{17719b54-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{17719b54-fad1-11d4-a466-00508b5ba2df} IHbStats
HKEY_CLASSES_ROOT\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}
HKEY_CLASSES_ROOT\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d} IHbXip
HKEY_CLASSES_ROOT\interface\{da603411-0593-11d5-a46b-00508b5ba2df}
HKEY_CLASSES_ROOT\interface\{da603411-0593-11d5-a46b-00508b5ba2df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{da603411-0593-11d5-a46b-00508b5ba2df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{da603411-0593-11d5-a46b-00508b5ba2df} IHbHttpClient
HKEY_CLASSES_ROOT\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}
HKEY_CLASSES_ROOT\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d} IHbMapiAddrBook
HKEY_LOCAL_MACHINE\software\classes\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}
HKEY_LOCAL_MACHINE\software\classes\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{17719b53-fad1-11d4-a466-00508b5ba2df} IHbSkinsManager
HKEY_LOCAL_MACHINE\software\classes\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}
HKEY_LOCAL_MACHINE\software\classes\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746} IHbLicense
HKEY_LOCAL_MACHINE\software\classes\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}
HKEY_LOCAL_MACHINE\software\classes\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{7e33bc81-0818-11d5-b50d-00d0b77f0a6d} IHbXip
HKEY_LOCAL_MACHINE\software\classes\interface\{da603411-0593-11d5-a46b-00508b5ba2df}
HKEY_LOCAL_MACHINE\software\classes\interface\{da603411-0593-11d5-a46b-00508b5ba2df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{da603411-0593-11d5-a46b-00508b5ba2df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{da603411-0593-11d5-a46b-00508b5ba2df} IHbHttpClient
HKEY_LOCAL_MACHINE\software\classes\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}
HKEY_LOCAL_MACHINE\software\classes\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{f64b26c1-07de-11d5-b50d-00d0b77f0a6d} IHbMapiAddrBook
HKEY_LOCAL_MACHINE\software\classes\interface\{927420a3-7259-4a74-b402-9329177ec3fc}
HKEY_LOCAL_MACHINE\software\classes\interface\{927420a3-7259-4a74-b402-9329177ec3fc}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{927420a3-7259-4a74-b402-9329177ec3fc}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\software\classes\interface\{927420a3-7259-4a74-b402-9329177ec3fc} IHbElementFocus
HKEY_CLASSES_ROOT\interface\{927420a3-7259-4a74-b402-9329177ec3fc}
HKEY_CLASSES_ROOT\interface\{927420a3-7259-4a74-b402-9329177ec3fc}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{927420a3-7259-4a74-b402-9329177ec3fc}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{927420a3-7259-4a74-b402-9329177ec3fc} IHbElementFocus
HKEY_CLASSES_ROOT\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}
HKEY_CLASSES_ROOT\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{3103e312-e1bb-49ab-80eb-0a92fca78746} IHbLicense
HKEY_CLASSES_ROOT\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}
HKEY_CLASSES_ROOT\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{17719b53-fad1-11d4-a466-00508b5ba2df}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{17719b53-fad1-11d4-a466-00508b5ba2df} IHbSkinsManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B53-FAD1-11D4-A466-00508B5BA2DF}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B53-FAD1-11D4-A466-00508B5BA2DF}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B53-FAD1-11D4-A466-00508B5BA2DF} IHbSkinsManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF} IHbStats
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3103E312-E1BB-49AB-80EB-0A92FCA78746}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3103E312-E1BB-49AB-80EB-0A92FCA78746}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3103E312-E1BB-49AB-80EB-0A92FCA78746} IHbLicense
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F04CBF7-CD62-4403-B090-B432DEDCB159}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F04CBF7-CD62-4403-B090-B432DEDCB159}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F04CBF7-CD62-4403-B090-B432DEDCB159}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3F04CBF7-CD62-4403-B090-B432DEDCB159} IRegisterableObject
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E} IHbLfg2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{927420A3-7259-4A74-B402-9329177EC3FC}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{927420A3-7259-4A74-B402-9329177EC3FC}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{927420A3-7259-4A74-B402-9329177EC3FC} IHbElementFocus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9DD19D39-2CDC-465B-BB21-1D433590BA3D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9DD19D39-2CDC-465B-BB21-1D433590BA3D}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9DD19D39-2CDC-465B-BB21-1D433590BA3D}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9DD19D39-2CDC-465B-BB21-1D433590BA3D} IDynamicProp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC190DA5-0187-4D99-B3AC-6C45EA1B9324} IBrwsAdapter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA603411-0593-11D5-A46B-00508B5BA2DF}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA603411-0593-11D5-A46B-00508B5BA2DF}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA603411-0593-11D5-A46B-00508B5BA2DF} IHbHttpClient
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F64B26C1-07DE-11D5-B50D-00D0B77F0A6D}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F64B26C1-07DE-11D5-B50D-00D0B77F0A6D}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F64B26C1-07DE-11D5-B50D-00D0B77F0A6D} IHbMapiAddrBook


Paltalk Low Risk Adware more information...
Details: Paltalk is an advertising-supported instant messaging client.
Status: Deleted

Infected files detected
c:\programme\paltalk messenger\ctrlkey.dll
c:\programme\paltalk messenger\efax3.ico
c:\programme\paltalk messenger\ftpclient.dll
c:\programme\paltalk messenger\irunin.bmp
c:\programme\paltalk messenger\irunin.dat
c:\programme\paltalk messenger\irunin.ini
c:\programme\paltalk messenger\irunin.lng
c:\programme\paltalk messenger\license.txt
c:\programme\paltalk messenger\palsound.dll
c:\programme\paltalk messenger\paltalk.exe
c:\programme\paltalk messenger\paltextctl.dll
c:\programme\paltalk messenger\subscribe.ico
c:\programme\paltalk messenger\upgrade.ico
c:\programme\paltalk messenger\webvideo.dll
c:\programme\paltalk messenger\receivedfiles\brq.txt
C:\palsound.txt

Infected registry entries detected
HKEY_CURRENT_USER\Software\PalTalk
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah nickname Ah_medinem_Ah
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah UID 31082964
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah pwd 335028952761334828953314
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah firsttimeuser 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_EMOTETYPE 3
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_USEFORMATTING 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_UNDERLINE 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_ITALIC 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_BOLD 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_FONTCOLOR 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_FONTSIZE 10
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_TIMESTAMP 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah PMWND_AUTOSCROLL 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_EMOTETYPE 3
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_USEFORMATTING 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_UNDERLINE 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_ITALIC 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_BOLD 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_FONTCOLOR 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_FONTSIZE 10
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_TIMESTAMP 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_AUTOSCROLL 1
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah GROUPWND_JOINNOTIFICATION 0
HKEY_CURRENT_USER\Software\PalTalk\Ah_medinem_Ah receivedfiles C:\Dokumente und Einstellungen\GelinciK\Eigene Dateien\My Received Files
HKEY_CURRENT_USER\Software\PalTalk\gelinciksiz nickname gelinciksiz
HKEY_CURRENT_USER\Software\PalTalk\gelinciksiz UID 30963345
HKEY_CURRENT_USER\Software\PalTalk\gelinciksiz pwd 353032752761331828953444
HKEY_CURRENT_USER\Software\PalTalk\gelinciksiz firsttimeuser 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@islam@Bulbulleri@ type 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@islam@Bulbulleri@ lock 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@islam@Bulbulleri@ rating 71
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@islam@Bulbulleri@ affiliate 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@iSlaM_ve_HosgoRu_54@ type 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@iSlaM_ve_HosgoRu_54@ lock 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@iSlaM_ve_HosgoRu_54@ rating 71
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\@iSlaM_ve_HosgoRu_54@ affiliate 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\Gonuller ISLAM Ister type 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\Gonuller ISLAM Ister lock 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\Gonuller ISLAM Ister rating 71
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\Gonuller ISLAM Ister affiliate 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\[@] iSLAM Akademisi[@] type 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\[@] iSLAM Akademisi[@] lock 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\[@] iSLAM Akademisi[@] rating 71
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO\Favorites\[@] iSLAM Akademisi[@] affiliate 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO nickname OoO GelinciK OoO
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO UID 31237541
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO pwd 310030352761341828953154
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO firsttimeuser 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_EMOTETYPE 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_USEFORMATTING 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_UNDERLINE 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_ITALIC 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_BOLD 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_FONTCOLOR 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_FONTSIZE 10
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_TIMESTAMP 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_AUTOSCROLL 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO GROUPWND_JOINNOTIFICATION 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_EMOTETYPE 3
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_USEFORMATTING 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_UNDERLINE 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_ITALIC 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_BOLD 1
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_FONTCOLOR 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_FONTSIZE 10
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_TIMESTAMP 0
HKEY_CURRENT_USER\Software\PalTalk\OoO GelinciK OoO PMWND_AUTOSCROLL 1
HKEY_CURRENT_USER\Software\PalTalk Installer C:\DOKUME~1\GelinciK\LOKALE~1\Temp\2.exe
HKEY_CURRENT_USER\Software\PalTalk cur_build 100
HKEY_CURRENT_USER\Software\PalTalk host 199.106.211.53
HKEY_CURRENT_USER\Software\PalTalk port 5001
HKEY_CURRENT_USER\Software\PalTalk cur_user Ah_medinem_Ah
HKEY_CURRENT_USER\Software\PalTalk PALWND_LEFT 25
HKEY_CURRENT_USER\Software\PalTalk PALWND_TOP 69
HKEY_CURRENT_USER\Software\PalTalk PALWND_HEIGHT 565
HKEY_CURRENT_USER\Software\PalTalk PALWND_WIDTH 299
HKEY_CURRENT_USER\Software\PalTalk noautostart 0
HKEY_CURRENT_USER\Software\PalTalk GROUPLIST_LEFT 50
HKEY_CURRENT_USER\Software\PalTalk GROUPLIST_TOP 50
HKEY_CURRENT_USER\Software\PalTalk GROUPLIST_HEIGHT 700
HKEY_CURRENT_USER\Software\PalTalk GROUPLIST_WIDTH 700
HKEY_CURRENT_USER\Software\PalTalk GROUPLIST_SPLITTER 225
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText\CLSID {C69AA869-E87F-4B07-AD47-F89C5C44899E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText\CurVer PalTextCtl.PalText.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText PalText Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\InprocServer32 C:\Programme\Paltalk Messenger\paltextctl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\InprocServer32 ThreadingModel Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\MiscStatus\1 131473
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\MiscStatus 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\ProgID PalTextCtl.PalText.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\ToolboxBitmap32 C:\Programme\Paltalk Messenger\paltextctl.dll, 101
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\TypeLib {3056AD2C-1727-4968-A415-DDE7FDCD14C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E}\VersionIndependentProgID PalTextCtl.PalText
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C69AA869-E87F-4B07-AD47-F89C5C44899E} PalText Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText.1\CLSID {C69AA869-E87F-4B07-AD47-F89C5C44899E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PalTextCtl.PalText.1 PalText Class


My Way Speedbar Browser Plug-in more information...
Details: MyWay Speedbar is a search toolbar that installs into Internet Explorer and Netscape Navigator, adding search functions and popup blocking.
Status: Deleted

Infected files detected
c:\programme\myway\mybar\history\search
c:\programme\myway\mybar\settings\prevcfg.htm

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Dir C:\Programme\MyWay\myBar\
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar pid PI
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar CurInstall 1
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar sr 0
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar pl 7
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Id EFFD7CE1-9D98-4598-ACAB-BDEFE23729B7
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar CacheDir C:\Programme\MyWay\myBar\Cache\
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar HistoryDir C:\Programme\MyWay\myBar\History\
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Visible 0
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar SettingsDir C:\Programme\MyWay\myBar\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ConfigRevisionURL http://barcfg.myway.com/cfg/speedbar/mySpeedbarCfg2.jsp?p=PI&s=sw
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar ConfigDateStamp 2005030622
HKEY_LOCAL_MACHINE\SOFTWARE\MyWay\myBar Maximized 1


C2.Lop Spyware more information...
Details: Lop is a group of spyware and hijacker programs that set your Internet Explorer start page and search features to use the site lop.com ('Live Online Portal') or one of its clone sites.
Status: Deleted

Infected files detected
C:\escheck\ECBackup\a0025713.exe.bkp


KaZaA P2P more information...
Details: Kazaa is a Peer to Peer file sharing application that uses some adware advertising as well as installs a number of thrid party adware software on your computer.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\Kazaa\Advanced
HKEY_CURRENT_USER\Software\Kazaa\Advanced MaxSearchResult 200
HKEY_CURRENT_USER\Software\Kazaa\Advanced SuperNode 1
HKEY_CURRENT_USER\Software\Kazaa\Advanced ScanFolder 0
HKEY_CURRENT_USER\software\kazaa
HKEY_CURRENT_USER\software\kazaa\Advanced MaxSearchResult 200
HKEY_CURRENT_USER\software\kazaa\Advanced SuperNode 1
HKEY_CURRENT_USER\software\kazaa\Advanced ScanFolder 0
HKEY_CURRENT_USER\software\kazaa\InstantMessaging IgnoreAll 0
HKEY_CURRENT_USER\software\kazaa\InstantMessaging IgnoredUsers
HKEY_CURRENT_USER\software\kazaa\k-lite InstallSig 6
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 0 273
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 1 145
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 2 178
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 3 70
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 4 90
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 5 89
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 6 129
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 7 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Download Width 8 191
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 0 411
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 1 72
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 2 108
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 3 80
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 4 82
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 5 60
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 6 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 7 76
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 8 76
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 9 298
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 10 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 11 50
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\EverythingWidth 12 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 0 146
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 1 109
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 2 109
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 3 199
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 4 73
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 5 109
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 6 146
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 7 73
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 8 146
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\Upload Width 9 146
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 0 411
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 1 72
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 2 108
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 3 80
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 4 82
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 5 60
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 6 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 7 76
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 8 76
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 9 298
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 10 64
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 11 50
HKEY_CURRENT_USER\software\kazaa\Kazaa Lite K++\VideoWidth 12 64
HKEY_CURRENT_USER\software\kazaa\LocalContent DisableSharing 0
HKEY_CURRENT_USER\software\kazaa\LocalContent DownloadDir C:\My Shared Folder
HKEY_CURRENT_USER\software\kazaa\ResultsFilter adult_filter_level 0
HKEY_CURRENT_USER\software\kazaa\ResultsFilter showDisableAdultFilter 1
HKEY_CURRENT_USER\software\kazaa\ResultsFilter virus_filter 0
HKEY_CURRENT_USER\software\kazaa\ResultsFilter firewall_filter 1
HKEY_CURRENT_USER\software\kazaa\ResultsFilter bogus_filter 1
HKEY_CURRENT_USER\software\kazaa\ResultsFilter custom_filter_phrases .scr, .vbs, .jpg.exe, .jpg.vbs, .avi.exe, .avi.vbs, .mp3.exe, .mp3.vbs, -fulldownloader, 3-fulldwnloader, -full-downloader, -games-fulldownloader, divx-fulldownloader, 3-full-dwnloader-
HKEY_CURRENT_USER\software\kazaa\Skins SkinsDir C:\Programme\Kazaa Lite K++\Skins
HKEY_CURRENT_USER\software\kazaa\SOCKS Enabled 0
HKEY_CURRENT_USER\software\kazaa\Transfer ConcurrentDownloads 50
HKEY_CURRENT_USER\software\kazaa\Transfer ConcurrentUploads 4
HKEY_CURRENT_USER\software\kazaa\Transfer UploadBandwidth 0
HKEY_CURRENT_USER\software\kazaa\Transfer NoUploadLimitWhenIdle 0
HKEY_CURRENT_USER\software\kazaa\Transfer CacheHost 0
HKEY_CURRENT_USER\software\kazaa\Transfer CachePort 0
HKEY_CURRENT_USER\software\kazaa\Transfer CacheDiscoveryTime 1129049504
HKEY_CURRENT_USER\software\kazaa\Transfer DlDir0 C:\My Shared Folder
HKEY_CURRENT_USER\software\kazaa\UserDetails CountryCode DE
HKEY_CURRENT_USER\software\kazaa\UserDetails UserName xxxxxxxxxx
HKEY_CURRENT_USER\software\kazaa\UserDetails Email user@kazaalite.kpp
HKEY_CURRENT_USER\software\kazaa\UserDetails Newsletter 0
HKEY_CURRENT_USER\software\kazaa\UserDetails AutoConnected 0
HKEY_CURRENT_USER\software\kazaa LimitBitrate 0
HKEY_CURRENT_USER\software\kazaa LastSearchHash


MyWebSearch Toolbar Potentially Unwanted Software more information...
Details: WebSearch Toolbar is a customizable Internet Explorer search toolbar with various other tools.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}\TreatAs {63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}
HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{147A976E-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239}\TreatAs {63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC} IMonitorEvents
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF} IF3PopupMenu
HKEY_CLASSES_ROOT\MyWebSearch.HTMLPanel
HKEY_CLASSES_ROOT\MyWebSearch.HTMLPanel\CurVer MyWebSearch.HTMLPanel.1
HKEY_CLASSES_ROOT\MyWebSearch.HTMLPanel MyWebSearch HTML Panel


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@doubleclick[1].txt


Radar Spy 1.0 Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@tradedoubler[1].txt
Dieser Beitrag wurde am 21.10.2005 um 02:50 Uhr von nemidanem editiert.
Seitenanfang Seitenende
21.10.2005, 11:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 nun setze alles, was vom Counterspy angezeigt wird auf
*Ignore
*Remove
*Quarantaine

scanne noch mal und poste den neuen scanbericht (lade das tool also neu, um den Antivirus kuemmern wir uns spaeter)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.10.2005, 00:26
nemidanem
Member

Themenstarter

Beiträge: 11
#11 Hallo@Sabina

Hier der scan----------------------------------------------------------------------------------------------------------------------------------------

Spyware Scan Details
Start Date: 22.10.2005 00:08:43
End Date: 22.10.2005 00:24:11
Total Time: 15 mins 28 secs

Detected spyware

iOpus STARR Commercial Key Logger more information...
Details: STARR allows companies and individuals to track the use of PCs easily and invisibly. It logs keystrokes, user names, passwords, path names, access times, windows titles, both sides of a chat conversation for most popular chat software, AOL content and vis
Status: Deleted

Infected files detected
C:\MAGIX\Digital_Foto_Maker_2005_SE\Zipdll.dll
C:\MAGIX\Fotos_auf_CD_35\ZIPDLL.DLL
C:\MAGIX\videodeLuxe_0405_SE\ZIPDLL.DLL


ATDMT.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@atdmt[2].txt


DoubleClick Cookie more information...
Details: DoubleClick is a popular ad serving network that uses spyware cookies, to target advertising.
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@doubleclick[1].txt


BS.Serving-Sys Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@serving-sys[2].txt


Radar Spy 1.0 Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\gelincik\cookies\gelincik@tradedoubler[1].txt
Seitenanfang Seitenende
22.10.2005, 22:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 deinstalliere antivirus und lade ihn neu, dann berichte, ob alles wieder normal mit dem Virenscanner laueft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.10.2005, 23:28
nemidanem
Member

Themenstarter

Beiträge: 11
#13 Hallo@sabina
hab schon gemacht, macht trotzdem kein update!
Mach es grad noch mal!
Ist eigeltlich bei mir soweit alles gut geworden?
Dieser Beitrag wurde am 22.10.2005 um 23:34 Uhr von nemidanem editiert.
Seitenanfang Seitenende
22.10.2005, 23:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 wenn alles geloescht ist, vom Counterspy, muesste alles wieder o.k. sein.
Du must den Antivirus deinstallieren und neu laden.
Deinstalliere auch Counterspy
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2005, 01:02
nemidanem
Member

Themenstarter

Beiträge: 11
#15 Ich hab das was du meintest gemacht aber hat trotzdem nicht geklappt!
Mitlerweile hab ich mich bei Forum im antivir umgehört!
Und zwar solles eine neue version grad geben und da es alle runterladen würde eine nachricht kommen zur zeit überlastet oder so!
Bei mir kam das nicht weil in der neuen version das automatisch laden tut ohne ich auf start drücken kann wie gewöhnlich.

Da hat mir einer gesagt Zitiere:

bedenke allerdings, dass antivir seit der vorletzten version eine neuen automatische update funktion hat. da heißt, ab dem punkt andem du den updater startest führt der udpater alles von alleine aus. er schließt sich also auch alleine wenn er fertig ist
wenn dich diese Funktion stört, dann gehin die einstellungen des Hauptprogramms und deaktiviere unter internet updater die automatischen updates.
bist du dir sicher, dass es ein trojaner war den du mit msn Plus bekomm hast. meiner Meinung nach ist das adware, müsste eine toolbar im Internet explorer gewesen sein.


Habe ich gemacht. dann ging das also so weit das ich halt die Nachricht zumindest bekommen habe das es überlastet ist und ich später updaten soll.
Versuche ich dann noch mal!

Ein anderer meinte Zitiere:

Solange Du e-scan noch laufen hast bzw. RESTE & Spuren davon noch auf Deinem PC sind kann AV *nicht* ordnungsgemäß funktionieren!!
-> also entscheide Dich was Du willst!!
Im Falle Du entscheidest Dich doch für AntiVir, so deinstalliere es komplett, mach Datenträgerbereinigung, lösche alle Temps, Neustart. Dann das vorher heruntergeladene neue komplette Programm im *Abgesicherten Modus* aufspielen. DANACH unbedingt gleich ein Update machen!!
[sicherste Methode; es kann z.B. sein, daß Du mit Deiner "Reinigung" auch Dateien von AV gelöscht hast]


Was meinst du Sabina??? Das mit e-scan wie kann man das löschen? Ich hab lediglich den ordner bei speicher c gelöscht bei software fand ich nichts drüber! Wo sind die Temps dateinen bei speicher c? Wo kann man daten bereinigung machen

Frage 2

Kann ich auserdem die programme incredimail und Paltalk sowie skype benutzen sind die ok?
Da du ja meintest ich soll incredimail deinstallieren und paltalk und kazza hat der counterspy weggemacht!

Mein aktueller Hijack

Logfile of HijackThis v1.99.1
Scan saved at 13:42:18, on 23.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\GelinciK\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by2fd.bay2.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Dieser Beitrag wurde am 23.10.2005 um 14:00 Uhr von nemidanem editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12