habe ps guard , wie loswerden? , poste hier mein log

#0
26.10.2005, 20:45
...neu hier

Beiträge: 10
#1 Hi Leute,

bin auf der suche nach hilfe auf euer forum gekommen habe mir nämlich ps guard und wer weiß was sonst noch eingefangen , ein bißchen habe ich im forum schon gelesen und deshalb mit killbox und escancheck " bewaffnet " , da ich jedoch wenig ahnung habe hänge ich hier mein hijacklog an und freue mich über helfende Hinweise

Danke erstmal bis später

Logfile of HijackThis v1.99.1
Scan saved at 19:59:51, on 26.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\intmon.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\CNYHKey.exe
C:\Dokumente und Einstellungen\lilian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\lilian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp80C8.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\RunOnce: [AAW] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: style32 - C:\WINDOWS\q523250_disk.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
27.10.2005, 00:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@lilian

kopiere bitte die 4 Logs ab 3 Monate vom Datum her, denn die Dateien sind nach Datum geordnet...), dann beginnt die Reinigung ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2005, 09:56
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo Sabina und andere

habe alles kopiert , ab 83 Monate ist ja alles bei mir . Ein log ist sehr kurz und die anderen sind ewig lang hoffe habe alles richtig gemacht bin mir etwas unsicher , vor allem wie es jetzt weiter geht

hier das Ergebnis



Verzeichnis von C:\

27.10.2005 09:27 0 sys.txt
27.10.2005 09:27 18.908 system.txt
27.10.2005 09:26 334 systemtemp.txt
27.10.2005 09:25 99.076 system32.txt
27.10.2005 09:08 536.399.872 hiberfil.sys
27.10.2005 09:08 805.306.368 pagefile.sys
16.09.2005 13:34 194 boot.ini
27.08.2005 08:31 1.119 INSTALL.LOG
03.07.2004 20:03 14.336 VIDEO_TS.BUP
03.07.2004 20:03 18.432 VTS_04_0.BUP
03.07.2004 20:03 18.432 VTS_03_0.BUP
03.07.2004 20:03 18.432 VTS_02_0.BUP
03.07.2004 20:03 100.352 VTS_01_0.BUP
03.07.2004 20:03 10.573.824 VTS_04_1.VOB
03.07.2004 20:03 10.240 VTS_04_0.VOB
03.07.2004 20:03 8.617.984 VTS_03_1.VOB
03.07.2004 20:03 10.240 VTS_03_0.VOB
03.07.2004 20:03 18.204.672 VTS_02_1.VOB
03.07.2004 20:03 10.240 VTS_02_0.VOB
03.07.2004 20:03 682.536.960 VTS_01_4.VOB
03.07.2004 20:02 1.073.739.776 VTS_01_3.VOB
03.07.2004 19:59 1.073.739.776 VTS_01_2.VOB
03.07.2004 19:57 1.073.739.776 VTS_01_1.VOB
03.07.2004 19:53 401.682.432 VTS_01_0.VOB
03.07.2004 19:52 872.448 VIDEO_TS.VOB
20.03.2004 19:02 1.024.000 CAPTURE.AVI
20.09.2003 19:12 499 IPH.PH
20.09.2003 16:50 0 IO.SYS
20.09.2003 16:50 0 MSDOS.SYS
20.09.2003 16:50 0 AUTOEXEC.BAT
20.09.2003 16:50 0 CONFIG.SYS
02.04.2003 14:00 47.580 NTDETECT.COM
02.04.2003 14:00 4.952 bootfont.bin
02.04.2003 14:00 235.296 ntldr
24.05.2001 12:59 162.304 UNWISE.EXE
35 Datei(en) 5.687.208.854 Bytes
0 Verzeichnis(se), 17.412.964.352 Bytes frei





Verzeichnis von C:\WINDOWS

27.10.2005 09:10 292.665 setupapi.log
27.10.2005 09:09 0 0.log
27.10.2005 09:08 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
27.10.2005 09:08 159 wiadebug.log
27.10.2005 09:08 50 wiaservc.log
27.10.2005 09:08 2.048 bootstat.dat
27.10.2005 08:44 32.570 SchedLgU.Txt
26.10.2005 19:35 0 gmtaqc.lrf
26.10.2005 18:16 3.095 OEWABLog.txt
26.10.2005 18:16 1.934 wmsetup.log
24.10.2005 08:04 0 ldhwaw.ezf
24.10.2005 08:04 0 qfukxv.evg
12.10.2005 09:05 873 win.ini
12.10.2005 08:54 136.656 DirectX.log
09.10.2005 17:57 0 difstq.dvv
16.09.2005 13:47 0 awdplc.mcm
16.09.2005 13:47 200.386 comsetup.log
16.09.2005 13:47 759.574 setuplog.txt
16.09.2005 13:40 129.756 ntdtcsetup.log
16.09.2005 13:40 60.754 iis6.log
16.09.2005 13:40 228.941 tsoc.log
16.09.2005 13:40 4.512 imsins.log
16.09.2005 13:40 166.106 setupact.log
16.09.2005 13:37 316.640 WMSysPr9.prx
16.09.2005 13:37 299.552 WMSysPrx.prx
16.09.2005 13:37 4.161 ODBCINST.INI
16.09.2005 13:36 95.806 Windows Update.log
16.09.2005 13:36 749 WindowsShell.Manifest
16.09.2005 13:35 399.300 ocgen.log
16.09.2005 13:35 23.722 ocmsn.log
16.09.2005 13:35 29.602 msgsocm.log
16.09.2005 13:35 535.315 FaxSetup.log
16.09.2005 13:35 846 DtcInstall.log
16.09.2005 13:35 11.573 sessmgr.setup.log
16.09.2005 13:32 220 setuperr.log
16.09.2005 13:25 5.406 regopt.log
16.09.2005 13:25 231 system.ini
16.09.2005 13:13 0 qlnuyd.lor
16.09.2005 13:13 331.016 setupapi.old
16.09.2005 13:13 482.404 WindowsUpdate.log
16.09.2005 13:10 0 sqkwnz.iqg
16.09.2005 10:27 0 mbtonn.nbn
16.09.2005 10:24 0 hrzeor.sab
16.09.2005 10:00 0 nygyrk.xyw
16.09.2005 09:25 0 jeyqjw.oco
16.09.2005 08:55 54.156 QTFont.qfn
16.09.2005 08:55 1.409 QTFont.for
16.09.2005 08:26 0 bymurv.gun
16.09.2005 08:26 70.144 q647937_disk.dll
16.09.2005 08:25 17.345 popuper.exe
16.09.2005 08:25 1.640 sites.ini
16.09.2005 08:14 0 ginnfp.mfr
16.09.2005 08:12 0 mbzyky.zat
10.09.2005 15:48 0 xkiweu.epk
10.09.2005 15:48 0 bmdtju.izg
07.09.2005 18:18 0 sqotsv.elv
07.09.2005 18:18 0 cbgqxf.fyp
07.09.2005 18:15 0 ilbnew.lbd
07.09.2005 18:15 0 jknndf.icj
07.09.2005 13:48 0 razckn.mqv
07.09.2005 13:02 0 munwwi.oxz
07.09.2005 13:02 70.144 q523250_disk.dll
24.08.2005 11:46 3.072 uninstIU.exe
24.08.2005 11:18 4.512 imsins.BAK
24.08.2005 11:02 214 wsdu.log
24.08.2005 11:02 11.707 WINNT32.LOG
24.08.2005 11:01 1.395 UPGRADE.TXT
24.08.2005 10:57 178 DHCPUPG.LOG
23.08.2005 11:39 382 RETRIEVE.INI
21.08.2005 12:50 87.184 NSUninst.exe
21.08.2005 12:50 10.294 mozver.dat
21.08.2005 12:50 87.184 GREUninstall.exe
21.08.2005 11:55 32 pavsig.txt
18.07.2005 22:14 99.970 UninstallFirefox.exe
24.05.2005 18:15 54 Felix2.ini
14.02.2005 18:04 115 GKDINO3D.INI
14.02.2005 11:55 181 magix.ini
07.02.2005 14:14 419 videodeLuxe.INI
06.01.2005 13:57 46.592 ejntomf.exe
06.01.2005 13:57 46.592 ertgsde.exe
06.01.2005 13:57 46.592 taorvnt.exe
06.01.2005 13:57 46.592 vdyygqx.exe
06.01.2005 13:57 46.592 eyjildf.exe
06.01.2005 13:57 46.592 ehpejgt.exe
06.01.2005 13:57 46.592 edmfkyn.exe
06.01.2005 13:57 46.592 fdrmyvk.exe
06.01.2005 13:57 46.592 sycumwf.exe
06.01.2005 13:57 46.592 fedjmvq.exe
06.01.2005 13:57 46.592 duheubf.exe
06.01.2005 13:57 46.592 ferrhwu.exe
06.01.2005 13:57 46.592 flnfbtc.exe
06.01.2005 13:57 46.592 flvqmpx.exe
06.01.2005 13:57 46.592 fsgwlbp.exe
06.01.2005 13:57 46.592 fufscon.exe
06.01.2005 13:57 46.592 fyycaxb.exe
06.01.2005 13:57 46.592 srstmhh.exe
06.01.2005 13:57 46.592 djyiaco.exe
06.01.2005 13:57 46.592 gjxeecu.exe
06.01.2005 13:57 46.592 sqyjcra.exe
06.01.2005 13:57 46.592 dthjbje.exe
06.01.2005 13:57 46.592 gkgcdoa.exe
06.01.2005 13:57 46.592 glrogfh.exe
06.01.2005 13:57 46.592 djumbvh.exe
06.01.2005 13:57 46.592 gptypfs.exe
06.01.2005 13:57 46.592 gqbfjha.exe
06.01.2005 13:57 46.592 tfsobld.exe
06.01.2005 13:57 46.592 dnsdcpd.exe
06.01.2005 13:57 46.592 gtnytxc.exe
06.01.2005 13:57 46.592 hauaaot.exe
06.01.2005 13:57 46.592 byltmog.exe
06.01.2005 13:57 46.592 hgisysp.exe
06.01.2005 13:57 46.592 vusjriu.exe
06.01.2005 13:57 46.592 smkvwan.exe
06.01.2005 13:57 46.592 hkbgvjg.exe
06.01.2005 13:57 46.592 tgpipna.exe
06.01.2005 13:57 46.592 hoaedud.exe
06.01.2005 13:57 46.592 vxstmqv.exe
06.01.2005 13:57 46.592 htobwki.exe
06.01.2005 13:57 46.592 hytbdoe.exe
06.01.2005 13:57 46.592 bxrqadb.exe
06.01.2005 13:57 46.592 icyevdw.exe
06.01.2005 13:57 46.592 wbjwflp.exe
06.01.2005 13:57 46.592 uxmosxe.exe
06.01.2005 13:57 46.592 iftmeia.exe
06.01.2005 13:57 46.592 bpelnla.exe
06.01.2005 13:57 46.592 thbhtiq.exe
06.01.2005 13:57 46.592 tjwidmi.exe
06.01.2005 13:57 46.592 treskoh.exe
06.01.2005 13:57 46.592 dnducrh.exe
06.01.2005 13:57 46.592 xatdjuw.exe
06.01.2005 13:57 46.592 xdmqroa.exe
06.01.2005 13:57 46.592 xilbdjl.exe
06.01.2005 13:57 46.592 wwlnkiy.exe
06.01.2005 13:57 46.592 iyjqyvs.exe
06.01.2005 13:57 46.592 bjwkctx.exe
06.01.2005 13:57 46.592 dhalast.exe
06.01.2005 13:57 46.592 jitkodo.exe
06.01.2005 13:57 46.592 jklxsph.exe
06.01.2005 13:57 46.592 dflfxfw.exe
06.01.2005 13:57 46.592 rvwhvlb.exe
06.01.2005 13:57 46.592 jtmvlpo.exe
06.01.2005 13:57 46.592 rsbroum.exe
06.01.2005 13:57 46.592 rnoogyp.exe
06.01.2005 13:57 46.592 rmecngc.exe
06.01.2005 13:57 46.592 rjfjumm.exe
06.01.2005 13:57 46.592 rihhvno.exe
06.01.2005 13:57 46.592 cerbors.exe
06.01.2005 13:57 46.592 tyjxgym.exe
06.01.2005 13:57 46.592 cynxtdu.exe
06.01.2005 13:57 46.592 cvjlrgu.exe
06.01.2005 13:57 46.592 cpyypkb.exe
06.01.2005 13:57 46.592 qscyjmm.exe
06.01.2005 13:57 46.592 qphyear.exe
06.01.2005 13:57 46.592 qotrynk.exe
06.01.2005 13:57 46.592 qofjbhi.exe
06.01.2005 13:57 46.592 wnmyvld.exe
06.01.2005 13:57 46.592 qkopxdx.exe
06.01.2005 13:57 46.592 kdnhmux.exe
06.01.2005 13:57 46.592 kiifpap.exe
06.01.2005 13:57 46.592 kmpycqj.exe
06.01.2005 13:57 46.592 kqvfwny.exe
06.01.2005 13:57 46.592 kqxixmx.exe
06.01.2005 13:57 46.592 kwmogqg.exe
06.01.2005 13:57 46.592 qghdsan.exe
06.01.2005 13:57 46.592 beogfap.exe
06.01.2005 13:57 46.592 cpofyhd.exe
06.01.2005 13:57 46.592 uhmcabo.exe
06.01.2005 13:57 46.592 laxnwcc.exe
06.01.2005 13:57 46.592 lbkeefv.exe
06.01.2005 13:57 46.592 lcsgera.exe
06.01.2005 13:57 46.592 beahtdy.exe
06.01.2005 13:57 46.592 ifbjqsg.exe
06.01.2005 13:57 46.592 lihmxrh.exe
06.01.2005 13:57 46.592 lnljlwj.exe
06.01.2005 13:57 46.592 lsframv.exe
06.01.2005 13:57 46.592 lukmfdy.exe
06.01.2005 13:57 46.592 lwseopq.exe
06.01.2005 13:57 46.592 dssnpep.exe
06.01.2005 13:57 46.592 mbdqckr.exe
06.01.2005 13:57 46.592 mbhmvhj.exe
06.01.2005 13:57 46.592 mbnldxq.exe
06.01.2005 13:57 46.592 wlcjblp.exe
06.01.2005 13:57 46.592 xbequfp.exe
06.01.2005 13:57 46.592 mdydyfe.exe
06.01.2005 13:57 46.592 mhggdml.exe
06.01.2005 13:57 46.592 pboihug.exe
06.01.2005 13:57 46.592 boglbrb.exe
06.01.2005 13:57 46.592 miwrbsp.exe
06.01.2005 13:57 46.592 mjbvwyo.exe
06.01.2005 13:57 46.592 mkkmlog.exe
06.01.2005 13:57 46.592 mmqxthv.exe
06.01.2005 13:57 46.592 mmtkwxw.exe
06.01.2005 13:57 46.592 mnhhgid.exe
06.01.2005 13:57 46.592 mnndskn.exe
06.01.2005 13:57 46.592 unlelwx.exe
06.01.2005 13:57 46.592 dmlilxl.exe
06.01.2005 13:57 46.592 orwcgkf.exe
06.01.2005 13:57 46.592 xmtgmgr.exe
06.01.2005 13:57 46.592 uojgucg.exe
06.01.2005 13:57 46.592 mwrvqiv.exe
06.01.2005 13:57 46.592 myggurc.exe
06.01.2005 13:57 46.592 ndtsogf.exe
06.01.2005 13:57 46.592 nfhrvva.exe
06.01.2005 13:57 46.592 ortcslp.exe
06.01.2005 13:57 46.592 nrevckv.exe
06.01.2005 13:57 46.592 ogtygru.exe
06.01.2005 13:57 46.592 ikjyjrg.exe
06.01.2005 13:57 46.592 yabgjun.exe
06.01.2005 13:57 46.592 yghdsyq.exe
06.01.2005 13:57 46.592 nxbbevx.exe
06.01.2005 13:57 46.592 nxjstwh.exe
06.01.2005 13:57 46.592 cnqtkmp.exe
06.01.2005 13:57 46.592 nynixrs.exe
06.01.2005 13:57 46.592 nyqalww.exe
06.01.2005 13:57 46.592 ypwyuqa.exe
06.01.2005 13:57 46.592 obxjiog.exe
06.01.2005 13:57 46.592 obyvgxf.exe
06.01.2005 13:57 46.592 yutquvf.exe
06.01.2005 13:57 46.592 heyxbqi.exe
25.08.2004 16:20 333 KA.INI
10.07.2004 14:06 24 AUTORUN.INI
03.07.2004 21:43 3.120 O498NP3Q.ocx
03.07.2004 21:43 3.120 QR40374O.ocx
03.07.2004 21:43 3.120 6459SFL2.ocx
02.06.2004 19:50 899 disney.ini
20.03.2004 19:02 1.040 SJobList.dat
20.03.2004 19:02 0 JobList.dat
07.02.2004 20:33 224 cdPlayer.ini
01.02.2004 22:05 491 nsw.log
31.01.2004 14:43 10.752 Thumbs.db
19.10.2003 12:33 17.003 xpsp1hfm.log
19.10.2003 12:33 11.372 KB824141.log
19.10.2003 12:32 12.858 KB823182.log
19.10.2003 12:31 10.990 KB825119.log
19.10.2003 12:30 4.206 KB828035.log
19.10.2003 12:26 7.434 KB825116.log
19.10.2003 12:13 10 Wininit.ini
08.10.2003 16:08 10.069 Q828026.log
22.09.2003 23:59 61 smscfg.ini
22.09.2003 21:27 921 Recorder.reg
22.09.2003 20:00 10.147 Q815485.log
20.09.2003 20:01 400 ODBC.INI
20.09.2003 19:24 47 InoSetup.ini
20.09.2003 19:14 8.192 REGLOCS.OLD
20.09.2003 19:11 335 nsreg.dat

Verzeichnis von C:\WINDOWS\system32

27.10.2005 09:10 2.560 intmon.exe
27.10.2005 09:10 4.608 hhk.dll
27.10.2005 09:10 53.248 hp3D5D.tmp
26.10.2005 19:34 2.560 intmonp.exe
26.10.2005 18:16 53.248 hp9447.tmp
26.10.2005 18:12 2.206 wpa.dbl
24.10.2005 08:04 53.248 hp7C52.tmp
16.09.2005 13:45 54.886 perfc009.dat
16.09.2005 13:45 383.736 perfh009.dat
16.09.2005 13:45 394.958 perfh007.dat
16.09.2005 13:45 65.950 perfc007.dat
16.09.2005 13:45 910.554 PerfStringBackup.INI
16.09.2005 13:40 329 $winnt$.inf
16.09.2005 13:37 25.065 wmpscheme.xml
16.09.2005 13:37 16.832 amcompat.tlb
16.09.2005 13:37 23.392 nscompat.tlb
16.09.2005 13:36 488 logonui.exe.manifest
16.09.2005 13:36 488 WindowsLogon.manifest
16.09.2005 13:36 749 ncpa.cpl.manifest
16.09.2005 13:36 749 sapi.cpl.manifest
16.09.2005 13:36 749 nwc.cpl.manifest
16.09.2005 13:36 749 wuaucpl.cpl.manifest
16.09.2005 13:36 749 cdplayer.exe.manifest
16.09.2005 13:35 23.552 emptyregdb.dat
16.09.2005 13:35 525 mapisvc.inf
16.09.2005 13:16 1.622 wppp.html
16.09.2005 13:10 53.248 hp68.tmp
16.09.2005 10:27 53.248 hp79FD.tmp
16.09.2005 10:24 53.248 hp8A3E.tmp
16.09.2005 09:23 53.248 hp5D9.tmp
16.09.2005 08:24 7.281 msole32.exe
16.09.2005 08:16 1.593 ole32vbs.exe
16.09.2005 08:16 766 spyware.ico
16.09.2005 08:16 4.286 spam.ico
16.09.2005 08:16 2.238 network.ico
16.09.2005 08:16 2.238 Date.ico
16.09.2005 08:12 53.248 hpCF75.tmp
10.09.2005 15:48 53.248 hp7A6F.tmp
08.09.2005 18:08 53.248 hp7128.tmp
07.09.2005 18:25 53.248 hp8EF7.tmp
07.09.2005 18:17 53.248 hp78C9.tmp
07.09.2005 18:15 53.248 hpA141.tmp
07.09.2005 13:48 53.248 hp92D6.tmp
07.09.2005 13:03 35.328 shnlog.exe
07.09.2005 13:02 16.896 checkIn.dll
07.09.2005 13:01 5.481 msmsgs.exe
24.08.2005 11:18 251.880 FNTCACHE.DAT
24.08.2005 11:09 860 oeminfo.ini
21.08.2005 11:54 2.550 Uninstall.ico
21.08.2005 11:54 1.406 Help.ico
21.08.2005 11:54 1.718 Open.ico
21.08.2005 11:54 1.406 AddQuit.ico
21.08.2005 11:54 5.350 IE.ico
21.08.2005 11:54 9.470 Desktop.ico
21.08.2005 11:54 1.718 Quick.ico
21.08.2005 11:49 0 asfiles.txt
21.08.2005 10:27 4.286 ptainfo2.ico
21.08.2005 10:27 4.286 ptainfo1.ico
29.07.2005 21:07 73.728 asuninst.exe
12.06.2005 12:09 21.840 SIntfNT.dll
12.06.2005 12:09 17.212 SIntf32.dll
12.06.2005 12:09 12.067 SIntf16.dll
10.06.2005 15:16 6.195 pfdnnt.exe
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 466.200 wuapi.dll
25.05.2005 18:31 1.409 tmp3ED81.FOT
25.05.2005 18:31 1.409 tmp4BD81.FOT
25.05.2005 18:31 1.409 tmp59D81.FOT
25.05.2005 18:31 1.409 tmp67D81.FOT
25.05.2005 18:31 1.409 tmp65D81.FOT
19.04.2005 08:44 86.016 pxwma.dll
Seitenanfang Seitenende
27.10.2005, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 die 83 Monate waren ein fehler ;) es sollte keine 8 sondern eine Klammer sein (

*reg-Datei
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern
http://www.bleepingcomputer.com/files/reg/smitfraud.reg
dann erscheint eine smitfraud.reg auf dem Desktop

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.security2k.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp80C8.tmp

O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O20 - Winlogon Notify: style32 - C:\WINDOWS\q523250_disk.dll

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\intmon.exe
C:\WINDOWS\system32\hhk.dll
C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\wppp.html
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\system32\ole32vbs.exe
C:\WINDOWS\system32\shnlog.exe
C:\WINDOWS\system32\checkIn.dll
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\vxcikaaa.exe

C:\windows\TEMP\PSGuardInstall.exe
C:\WINDOWS\SYSTEM\phhr.bat
C:\WINDOWS\SYSTEM32\svcnva.exe
C:\WINDOWS\SYSTEM\oleext.dll
C:\Programme\PSGuard\database.dat
C:\Programme\PSGuard\MFC71.dll
C:\Programme\PSGuard\MFC71ENU.dll
C:\Programme\PSGuard\MSIMG32FOR9X.DLL
C:\Programme\PSGuard\msvcp71.dll
C:\Programme\PSGuard\msvcr71.dll
C:\Programme\PSGuard\PSGuard.exe
C:\Programme\PSGuard\PSGuard.exe.local
C:\Programme\PSGuard\PSGuardSkin.dll
C:\Programme\PSGuard\Uninstall.exe

C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico

C:\WINDOWS\system32\hp7C52.tmp
C:\WINDOWS\system32\hp68.tmp
C:\WINDOWS\system32\hp9447.tmp
C:\WINDOWS\system32\hp79FD.tmp
C:\WINDOWS\system32\hp8A3E.tmp
C:\WINDOWS\system32\hp5D9.tmp
C:\WINDOWS\system32\hpCF75.tmp
C:\WINDOWS\system32\hp7A6F.tmp
C:\WINDOWS\system32\hp7128.tmp
C:\WINDOWS\system32\hp8EF7.tmp
C:\WINDOWS\system32\hp78C9.tmp
C:\WINDOWS\system32\hpA141.tmp
C:\WINDOWS\system32\hp92D6.tmp
C:\WINDOWS\System32\hp80C8.tmp
C:\WINDOWS\system32\hp3D5D.tmp

C:\WINDOWS\q523250_disk.dll
C:\WINDOWS\q647937_disk.dll

C:\WINDOWS\popuper.exe
C:\WINDOWS\ldhwaw.ezf
C:\WINDOWS\qfukxv.evg
C:\WINDOWS\qlnuyd.lor
C:\WINDOWS\sqkwnz.iqg
C:\WINDOWS\mbtonn.nbn
C:\WINDOWS\hrzeor.sab
C:\WINDOWS\nygyrk.xyw
C:\WINDOWS\jeyqjw.oco
C:\WINDOWS\bymurv.gun
C:\WINDOWS\sites.ini
C:\WINDOWS\ginnfp.mfr
C:\WINDOWS\mbzyky.zat

C:\WINDOWS\xkiweu.epk
C:\WINDOWS\bmdtju.izg

C:\WINDOWS\sqotsv.elv
C:\WINDOWS\cbgqxf.fyp
C:\WINDOWS\ilbnew.lbd
C:\WINDOWS\jknndf.icj
C:\WINDOWS\razckn.mqv
C:\WINDOWS\munwwi.oxz
C:\WINDOWS\uninstIU.exe


C:\WINDOWS\ejntomf.exe
C:\WINDOWS\ertgsde.exe
C:\WINDOWS\taorvnt.exe
C:\WINDOWS\vdyygqx.exe
C:\WINDOWS\eyjildf.exe
C:\WINDOWS\ehpejgt.exe
C:\WINDOWS\edmfkyn.exe
C:\WINDOWS\fdrmyvk.exe
C:\WINDOWS\sycumwf.exe
C:\WINDOWS\fedjmvq.exe
C:\WINDOWS\duheubf.exe
C:\WINDOWS\ferrhwu.exe
C:\WINDOWS\flnfbtc.exe
C:\WINDOWS\flvqmpx.exe
C:\WINDOWS\fsgwlbp.exe
C:\WINDOWS\fufscon.exe
C:\WINDOWS\fyycaxb.exe
C:\WINDOWS\srstmhh.exe
C:\WINDOWS\djyiaco.exe
C:\WINDOWS\gjxeecu.exe
C:\WINDOWS\sqyjcra.exe
C:\WINDOWS\dthjbje.exe
C:\WINDOWS\gkgcdoa.exe
C:\WINDOWS\glrogfh.exe
C:\WINDOWS\djumbvh.exe
C:\WINDOWS\gptypfs.exe
C:\WINDOWS\gqbfjha.exe
C:\WINDOWS\tfsobld.exe
C:\WINDOWS\dnsdcpd.exe
C:\WINDOWS\gtnytxc.exe
C:\WINDOWS\hauaaot.exe
C:\WINDOWS\byltmog.exe
C:\WINDOWS\hgisysp.exe
C:\WINDOWS\vusjriu.exe
C:\WINDOWS\smkvwan.exe
C:\WINDOWS\hkbgvjg.exe
C:\WINDOWS\tgpipna.exe
C:\WINDOWS\hoaedud.exe
C:\WINDOWS\vxstmqv.exe
C:\WINDOWS\htobwki.exe
C:\WINDOWS\hytbdoe.exe
C:\WINDOWS\bxrqadb.exe
C:\WINDOWS\cyevdw.exe
C:\WINDOWS\wbjwflp.exe
C:\WINDOWS\uxmosxe.exe
C:\WINDOWS\iftmeia.exe
C:\WINDOWS\bpelnla.exe
C:\WINDOWS\thbhtiq.exe
C:\WINDOWS\tjwidmi.exe
C:\WINDOWS\treskoh.exe
C:\WINDOWS\dnducrh.exe
C:\WINDOWS\xatdjuw.exe
C:\WINDOWS\xdmqroa.exe
C:\WINDOWS\xilbdjl.exe
C:\WINDOWS\wwlnkiy.exe
C:\WINDOWS\iyjqyvs.exe
C:\WINDOWS\bjwkctx.exe
C:\WINDOWS\dhalast.exe
C:\WINDOWS\jitkodo.exe

nur die Dateien in die killbox kopieren...ich hab keine Lust/Zeit, Datum usw. zu loesche... ;)

06.01.2005 13:57 46.592 C:\WINDOWS\jklxsph.exe
06.01.2005 13:57 46.592 C:\WINDOWS\dflfxfw.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rvwhvlb.exe
06.01.2005 13:57 46.592 C:\WINDOWS\jtmvlpo.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rsbroum.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rnoogyp.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rmecngc.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rjfjumm.exe
06.01.2005 13:57 46.592 C:\WINDOWS\rihhvno.exe
06.01.2005 13:57 46.592 C:\WINDOWS\cerbors.exe
06.01.2005 13:57 46.592 C:\WINDOWS\tyjxgym.exe
06.01.2005 13:57 46.592 C:\WINDOWS\cynxtdu.exe
06.01.2005 13:57 46.592 C:\WINDOWS\cvjlrgu.exe
06.01.2005 13:57 46.592 C:\WINDOWS\cpyypkb.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qscyjmm.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qphyear.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qotrynk.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qofjbhi.exe
06.01.2005 13:57 46.592 C:\WINDOWS\wnmyvld.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qkopxdx.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kdnhmux.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kiifpap.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kmpycqj.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kqvfwny.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kqxixmx.exe
06.01.2005 13:57 46.592 C:\WINDOWS\kwmogqg.exe
06.01.2005 13:57 46.592 C:\WINDOWS\qghdsan.exe
06.01.2005 13:57 46.592 C:\WINDOWS\beogfap.exe
06.01.2005 13:57 46.592 C:\WINDOWS\cpofyhd.exe
06.01.2005 13:57 46.592 C:\WINDOWS\uhmcabo.exe
06.01.2005 13:57 46.592 C:\WINDOWS\laxnwcc.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lbkeefv.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lcsgera.exe
06.01.2005 13:57 46.592 C:\WINDOWS\beahtdy.exe
06.01.2005 13:57 46.592 C:\WINDOWS\ifbjqsg.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lihmxrh.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lnljlwj.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lsframv.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lukmfdy.exe
06.01.2005 13:57 46.592 C:\WINDOWS\lwseopq.exe
06.01.2005 13:57 46.592 C:\WINDOWS\dssnpep.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mbdqckr.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mbhmvhj.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mbnldxq.exe
06.01.2005 13:57 46.592 C:\WINDOWS\wlcjblp.exe
06.01.2005 13:57 46.592 C:\WINDOWS\xbequfp.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mdydyfe.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mhggdml.exe
06.01.2005 13:57 46.592 C:\WINDOWS\pboihug.exe
06.01.2005 13:57 46.592 C:\WINDOWS\boglbrb.exe
06.01.2005 13:57 46.592 C:\WINDOWS\miwrbsp.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mjbvwyo.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mkkmlog.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mmqxthv.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mmtkwxw.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mnhhgid.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mnndskn.exe
06.01.2005 13:57 46.592 C:\WINDOWS\unlelwx.exe
06.01.2005 13:57 46.592 C:\WINDOWS\dmlilxl.exe
06.01.2005 13:57 46.592 C:\WINDOWS\orwcgkf.exe
06.01.2005 13:57 46.592 C:\WINDOWS\xmtgmgr.exe
06.01.2005 13:57 46.592 C:\WINDOWS\uojgucg.exe
06.01.2005 13:57 46.592 C:\WINDOWS\mwrvqiv.exe
06.01.2005 13:57 46.592 C:\WINDOWS\myggurc.exe
06.01.2005 13:57 46.592 C:\WINDOWS\ndtsogf.exe
06.01.2005 13:57 46.592 C:\WINDOWS\nfhrvva.exe
06.01.2005 13:57 46.592 C:\WINDOWS\ortcslp.exe
C:\WINDOWS\nrevckv.exe
C:\WINDOWS\ogtygru.exe
C:\WINDOWS\ikjyjrg.exe
C:\WINDOWS\yabgjun.exe
C:\WINDOWS\yghdsyq.exe
C:\WINDOWS\nxbbevx.exe
C:\WINDOWS\nxjstwh.exe
C:\WINDOWS\cnqtkmp.exe
C:\WINDOWS\nynixrs.exe
C:\WINDOWS\nyqalww.exe
C:\WINDOWS\ypwyuqa.exe
C:\WINDOWS\obxjiog.exe
C:\WINDOWS\obyvgxf.exe
C:\WINDOWS\yutquvf.exe
C:\WINDOWS\heyxbqi.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

loesche:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\PSGuard.com
C:\Programme\PSGuard

boote wieder in den normalmodus:

CCleaner (loesche alle temporaeren Dateien)
http://virus-protect.org/temp.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip
ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum)
psguardrem.reg (klicken) und der Registry beifuegen

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.10.2005, 21:45
...neu hier

Themenstarter

Beiträge: 10
#5 Hi Sabina,

vielen Dank erstmal für Deine Hilfe

Weiß aber nicht so recht ob alles gut lief
Killbox hat nach kopieren nicht automatisch runtergefahren hab es selbst gemacht und beim Neustart zu lahm nicht abgesichert , gleich runtergefahren und dann abgesichert gestartet.Weiß aber nicht ob Killbox da noch funktioniert hat weil ewido noch ne Menge zum Schluß gefunden hat , die Namen kamen mir vom Kopieren irgendwie bekannt vor.

Ob smitRem sauber lief weiß ich auch nicht , ging sehr schnell / 3 sec Meldung
" All Files have been extracted " und txt nicht auffindbar (gar keine angelegt?)


hier das Ergebnis vom psguardregfix

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD

HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD\PSGuard

Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Der Vorgang wurde erfolgreich ausgeführt.

Deleting ShudderLTD/PSGuard.com ...........

Der Vorgang wurde erfolgreich ausgeführt.

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!


von ewido hab ich zwei scans der erste ist " Schneller Systemscan "
mußte ich machen der " Komplette " ist 2 mal hintereinander hängengeblieben

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:28:30, 27.10.2005
+ Report-Checksumme: C9B00A59

+ Scanergebnis:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Update\{357A87ED-3E5D-437d-B334-DEB7EB4982A3} -> Trojan.Agent.eo : Gesäubert mit Backup
[936] C:\WINDOWS\q523250_disk.dll -> TrojanDownloader.Delf.h : Fehler beim Säubern
[876] C:\WINDOWS\q523250_disk.dll -> TrojanDownloader.Delf.h : Fehler beim Säubern
C:\WINDOWS\beahtdy.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\beogfap.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\bjwkctx.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\boglbrb.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\bpelnla.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\bxrqadb.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\byltmog.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cerbors.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cnqtkmp.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cpofyhd.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cpyypkb.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cvjlrgu.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\cynxtdu.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dflfxfw.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dhalast.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\djumbvh.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\djyiaco.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dmlilxl.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dnducrh.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dnsdcpd.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\Downloaded Program Files\update.exe -> TrojanDownloader.Agent.fs : Gesäubert mit Backup
C:\WINDOWS\dssnpep.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\dthjbje.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\duheubf.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\edmfkyn.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\ehpejgt.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\ejntomf.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\ertgsde.exe -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\WINDOWS\__delete_on_reboot__q523250_disk.dll -> TrojanDownloader.Delf.h : Gesäubert mit Backup


::Report Ende



der zweite ist der " Komplette Systemscan " sind aber wenig Dateien beim Hängenbleiben war er vorher bei ca. 100 konnte davon aber keinen Report speichern
habe immer wenn was kam " Entfernen " gemacht

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 20:43:25, 27.10.2005
+ Report-Checksumme: 59A1EEB7

+ Scanergebnis:

[936] C:\WINDOWS\q523250_disk.dll -> TrojanDownloader.Delf.h : Fehler beim Säubern
[876] C:\WINDOWS\q523250_disk.dll -> TrojanDownloader.Delf.h : Fehler beim Säubern
C:\!KillBox\hhk.dll -> Trojan.Puper.az : Gesäubert mit Backup
C:\!KillBox\intmon.exe -> Trojan.Puper.az : Gesäubert mit Backup
C:\!KillBox\intmonp.exe -> Spyware.PSGuard : Gesäubert mit Backup
:mozilla.6:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.7:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.8:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.9:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.10:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.12:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Sexcounter : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\djz30s25.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\__delete_on_reboot__q523250_disk.dll -> TrojanDownloader.Delf.h : Gesäubert mit Backup


::Report Ende


hoffe habe mich nicht zu " kryptisch " ausgedrückt und ? muß ich Killbox nochmal machen ,wenn ja gibts nenn Trick nicht jede Datei einzel kopieren zu müssen , Finger fallen ab ;-) . Wenn nicht , Wer Viren hat muß leiden.


mit freundlichen Grüßen und Danke fürs wieder " Drüberschauen "
lilian
Seitenanfang Seitenende
27.10.2005, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 loesche mit der Killbox:

C:\WINDOWS\__delete_on_reboot__q523250_disk.dll
C:\WINDOWS\q523250_disk.dll

PC neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

poste das neue Log vom HijackThis + die 4 Logs (wieder vom Datum her bis Januar ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2005, 11:04
...neu hier

Themenstarter

Beiträge: 10
#7 Hi Sabina,

hier das smitfiles txt


smitRem log file
version 2.7

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

ole32vbs.exe
logfiles


~~~ Icons in System32 ~~~

ptainfo1
ptainfo2


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)


und hier das HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 10:13:16, on 28.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\lilian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: style32 - C:\WINDOWS\q523250_disk.dll (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


hier das 1.Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer:

Verzeichnis von C:\

28.10.2005 10:15 0 sys.txt
28.10.2005 10:14 8.490 system.txt
28.10.2005 10:14 125 systemtemp.txt
28.10.2005 10:14 97.776 system32.txt
28.10.2005 10:08 997 smitfiles.txt
28.10.2005 09:55 536.399.872 hiberfil.sys
28.10.2005 09:55 805.306.368 pagefile.sys
16.09.2005 13:34 194 boot.ini
27.08.2005 08:31 1.119 INSTALL.LOG


hier das 2. Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer:

Verzeichnis von C:\WINDOWS

28.10.2005 10:09 180 setupact.log
28.10.2005 10:08 0 setuperr.log
28.10.2005 10:05 5.911 setupapi.log
28.10.2005 09:56 0 0.log
28.10.2005 09:55 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
28.10.2005 09:55 159 wiadebug.log
28.10.2005 09:55 50 wiaservc.log
28.10.2005 09:55 2.048 bootstat.dat
28.10.2005 09:55 32.570 SchedLgU.Txt
27.10.2005 18:16 400 ODBC.INI
26.10.2005 19:35 0 gmtaqc.lrf
24.10.2005 08:04 0 ldhwaw.ezf
24.10.2005 08:04 0 qfukxv.evg
12.10.2005 09:05 873 win.ini
09.10.2005 17:57 0 difstq.dvv
16.09.2005 13:47 0 awdplc.mcm
16.09.2005 13:37 316.640 WMSysPr9.prx
16.09.2005 13:37 299.552 WMSysPrx.prx
16.09.2005 13:37 4.161 ODBCINST.INI
16.09.2005 13:36 749 WindowsShell.Manifest
16.09.2005 13:25 231 system.ini
16.09.2005 13:13 0 qlnuyd.lor
16.09.2005 13:13 331.016 setupapi.old
16.09.2005 13:10 0 sqkwnz.iqg
16.09.2005 10:27 0 mbtonn.nbn
16.09.2005 10:24 0 hrzeor.sab
16.09.2005 10:00 0 nygyrk.xyw
16.09.2005 09:25 0 jeyqjw.oco
16.09.2005 08:55 1.409 QTFont.for
16.09.2005 08:55 54.156 QTFont.qfn
16.09.2005 08:26 0 bymurv.gun
16.09.2005 08:14 0 ginnfp.mfr
16.09.2005 08:12 0 mbzyky.zat
10.09.2005 15:48 0 xkiweu.epk
10.09.2005 15:48 0 bmdtju.izg
07.09.2005 18:18 0 sqotsv.elv
07.09.2005 18:18 0 cbgqxf.fyp
07.09.2005 18:15 0 ilbnew.lbd
07.09.2005 18:15 0 jknndf.icj
07.09.2005 13:48 0 razckn.mqv
07.09.2005 13:02 0 munwwi.oxz
24.08.2005 11:01 1.395 UPGRADE.TXT
23.08.2005 11:39 382 RETRIEVE.INI
21.08.2005 12:50 87.184 NSUninst.exe
21.08.2005 12:50 10.294 mozver.dat
21.08.2005 12:50 87.184 GREUninstall.exe
21.08.2005 11:55 32 pavsig.txt
18.07.2005 22:14 99.970 UninstallFirefox.exe
24.05.2005 18:15 54 Felix2.ini
14.02.2005 18:04 115 GKDINO3D.INI
14.02.2005 11:55 181 magix.ini
07.02.2005 14:14 419 videodeLuxe.INI



hier das 3. Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer:

Verzeichnis von C:\WINDOWS\system32

26.10.2005 18:12 2.206 wpa.dbl
16.09.2005 13:45 54.886 perfc009.dat
16.09.2005 13:45 383.736 perfh009.dat
16.09.2005 13:45 394.958 perfh007.dat
16.09.2005 13:45 65.950 perfc007.dat
16.09.2005 13:45 910.554 PerfStringBackup.INI
16.09.2005 13:40 329 $winnt$.inf
16.09.2005 13:37 25.065 wmpscheme.xml
16.09.2005 13:37 23.392 nscompat.tlb
16.09.2005 13:37 16.832 amcompat.tlb
16.09.2005 13:36 488 WindowsLogon.manifest
16.09.2005 13:36 488 logonui.exe.manifest
16.09.2005 13:36 749 sapi.cpl.manifest
16.09.2005 13:36 749 nwc.cpl.manifest
16.09.2005 13:36 749 wuaucpl.cpl.manifest
16.09.2005 13:36 749 cdplayer.exe.manifest
16.09.2005 13:36 749 ncpa.cpl.manifest
16.09.2005 13:35 23.552 emptyregdb.dat
16.09.2005 13:35 525 mapisvc.inf
16.09.2005 08:16 766 spyware.ico
16.09.2005 08:16 4.286 spam.ico
16.09.2005 08:16 2.238 network.ico
16.09.2005 08:16 2.238 Date.ico
24.08.2005 11:18 251.880 FNTCACHE.DAT
24.08.2005 11:09 860 oeminfo.ini
21.08.2005 11:54 2.550 Uninstall.ico
21.08.2005 11:54 1.406 Help.ico
21.08.2005 11:54 1.718 Open.ico
21.08.2005 11:54 1.406 AddQuit.ico
21.08.2005 11:54 5.350 IE.ico
21.08.2005 11:54 9.470 Desktop.ico
21.08.2005 11:54 1.718 Quick.ico
21.08.2005 11:49 0 asfiles.txt
29.07.2005 21:07 73.728 asuninst.exe
12.06.2005 12:09 21.840 SIntfNT.dll
12.06.2005 12:09 17.212 SIntf32.dll
12.06.2005 12:09 12.067 SIntf16.dll
10.06.2005 15:16 6.195 pfdnnt.exe
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 466.200 wuapi.dll
25.05.2005 18:31 1.409 tmp3ED81.FOT
25.05.2005 18:31 1.409 tmp4BD81.FOT
25.05.2005 18:31 1.409 tmp59D81.FOT
25.05.2005 18:31 1.409 tmp67D81.FOT
25.05.2005 18:31 1.409 tmp65D81.FOT
19.04.2005 08:44 86.016 pxwma.dll
19.04.2005 08:44 53.248 pxhpinst.exe
19.04.2005 08:44 28.672 vxblock.dll
19.04.2005 08:44 307.200 pxdrv.dll
19.04.2005 08:44 397.312 pxwave.dll
19.04.2005 08:44 139.264 pxmas.dll
19.04.2005 08:44 438.272 px.dll


hier das 4.Log

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer:

Verzeichnis von C:\DOKUME~1\lilian\LOKALE~1\Temp


Danke wie immer und jetzt schon mal schönes we

freundliche Grüße
lilian[/u]
Seitenanfang Seitenende
28.10.2005, 11:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.security2k.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.security2k.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.security2k.net/
O20 - Winlogon Notify: style32 - C:\WINDOWS\q523250_disk.dll (file missing)
PC neustarten

mit der Killbox loeschen:

C:\WINDOWS\gmtaqc.lrf
C:\WINDOWS\ldhwaw.ezf
C:\WINDOWS\qfukxv.evg
C:\WINDOWS\sqkwnz.iqg
C:\WINDOWS\mbtonn.nbn
C:\WINDOWS\hrzeor.sab
C:\WINDOWS\nygyrk.xyw
C:\WINDOWS\jeyqjw.oco
C:\WINDOWS\bymurv.gun
C:\WINDOWS\q647937_disk.dll
C:\WINDOWS\popuper.exe
C:\WINDOWS\sites.ini
C:\WINDOWS\ginnfp.mfr
C:\WINDOWS\mbzyky.zat
C:\WINDOWS\xkiweu.epk
C:\WINDOWS\bmdtju.izg
C:\WINDOWS\sqotsv.elv
C:\WINDOWS\cbgqxf.fyp
C:\WINDOWS\ilbnew.lbd
C:\WINDOWS\jknndf.icj
C:\WINDOWS\razckn.mqv
C:\WINDOWS\munwwi.oxz
C:\WINDOWS\q523250_disk.dll
C:\WINDOWS\uninstIU.exe
C:\WINDOWS\system32\spyware.ico
C:\WINDOWS\system32\spam.ico
C:\WINDOWS\system32\network.ico
C:\WINDOWS\system32\Date.ico

PC neustarten

scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2005, 00:02
...neu hier

Themenstarter

Beiträge: 10
#9 Hi Sabina,

hier das Ergebnis von Pandasoftscan
Status Location

Adware:adware/psguard No disinfected Windows Registry
und hier der HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 23:38:48, on 28.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\Dokumente und Einstellungen\lilian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://o/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Danke + freundliche Grüße
lilian
Seitenanfang Seitenende
29.10.2005, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 fixe mit dem HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://o/

neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

scanne mit Counterspy und poste den scanbericht
http://virus-protect.org/counterspy.html

(dann mache die WindowsUpdates...lade SP2 )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2005, 23:07
...neu hier

Themenstarter

Beiträge: 10
#11 Hi Sabina,

HijackThis hat ja immer wenn ich die neue Startseite manuell eingegeben habe eben jene hinterher als RO gefunden , wie vorher z.B. google oder das 0 diesmal habe ich die vom System vorgeschlagene genommen , irgendwas von microsoft und HijackThis findet aktuell keine RO mehr. Hab ich damit was falsch gemacht ?

hier der Counterspy Scan

Spyware Scan Details
Start Date: 29.10.2005 21:54:57
End Date: 29.10.2005 22:12:27
Total Time: 17 mins 30 secs

Detected spyware

Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes


Adw.PSGuard Adware more information...
Details: PSGuard is a fraudulent anti-spyware program which uses desktop advertising to scare users into paying for the product.
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{057E242F-2947-4e0a-8E61-A11345D97EA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\InprocServer32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\ProgID WndLayer.Window.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\VersionIndependentProgID WndLayer.Window
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300} Window Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B} IWindowCollection
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9} IWindow
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F} IOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7} IWindowLayer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4} _IQuarantineEvents
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F} _IWindowLayerEvents
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\HELPDIR C:\Programme\PSGuard\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0 WndLayer 1.0 Type Library
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA} ISysInfoProcessObject
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90} ISysInfoBrowserObject
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE} ISysInfoBrowserModule
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8} ISysInfo
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B} _ISysInfoEvents
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F} ISysInfoAutorunObject


PSGuard Potentially Unwanted Software more information...
Status: Ignored

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\HELPDIR C:\Programme\PSGuard\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0 WndLayer 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll

Dankeschön + freundliche Grüße
lilian
Seitenanfang Seitenende
29.10.2005, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.10.2005, 23:01
...neu hier

Themenstarter

Beiträge: 10
#13 Hi Sabina

hier der Counterspy Scan nach Neustart

Spyware Scan Details
Start Date: 30.10.2005 22:21:27
End Date: 30.10.2005 22:36:21
Total Time: 14 mins 54 secs

Detected spyware

Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes


Adw.PSGuard Adware more information...
Details: PSGuard is a fraudulent anti-spyware program which uses desktop advertising to scare users into paying for the product.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{057E242F-2947-4e0a-8E61-A11345D97EA6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\InprocServer32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\ProgID WndLayer.Window.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}\VersionIndependentProgID WndLayer.Window
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300} Window Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B} IWindowCollection
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9} IWindow
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F} IOptions
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7} IWindowLayer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4} _IQuarantineEvents
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib {982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F} _IWindowLayerEvents
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\HELPDIR C:\Programme\PSGuard\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0 WndLayer 1.0 Type Library
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA} ISysInfoProcessObject
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90} ISysInfoBrowserObject
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE} ISysInfoBrowserModule
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8} ISysInfo
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B} _ISysInfoEvents
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib {F61D1CE1-5199-4B57-B59E-C6819EA92F3B}
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F} ISysInfoAutorunObject


PSGuard Potentially Unwanted Software more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{01C9453D-0004-43A5-AB44-6AA307C2A0AA}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{0BC3BCD5-476D-4BE3-A9B9-2225E1B96E90}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1038B941-451A-4A73-B5C0-A9B3243ACFBE}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{206538F7-F98C-4A46-A7D4-4A37FCDC932B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2C462D06-3BA0-48BB-9282-BB6519FE86E9}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A20F5672-7486-4D27-BD2B-E555E4692C5F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C6E2A22C-B3A8-43A4-B5EC-A5BB671AB3F7}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CABD3101-8501-45B0-928F-86086D66B4B8}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF1674CC-EC9A-4AEE-996E-65A8F7C0B0E4}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E2605A54-EC78-4618-83D8-BFEF45BF370B}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E68572C0-6051-4ACE-93D3-9981F91DA24F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4364EEC-31F5-4B8B-A7E0-3B6394C9D23F}\TypeLib Version 1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\FLAGS 0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\HELPDIR C:\Programme\PSGuard\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0 WndLayer 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{982392F9-9C65-48B4-B667-3459C46630D1}\1.0\0\win32 C:\Programme\PSGuard\WndLayer.dll


Dankeschön + freundliche Grüße
lilian
Seitenanfang Seitenende
30.10.2005, 23:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

nun stelle eine neue Startseite ein und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2005, 17:09
...neu hier

Themenstarter

Beiträge: 10
#15 Hi Sabina,

hier das hijackThis Log nach den durchgeführten Maßnahmen

und da is wieder R0 mit der neuen Starseite die ich gerade angelegt habe

Logfile of HijackThis v1.99.1
Scan saved at 16:47:57, on 31.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\DOKUME~1\lilian\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Danke wie immer und freundliche Grüße
lilian
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: