Warning! Your Computer might be infected with spyware or adware!

#0
04.11.2005, 21:00
Member

Beiträge: 13
#16 -------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, November 04, 2005 20:58:29
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 4/11/2005
Kaspersky Anti-Virus database records: 148587
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 119509
Number of viruses found: 9
Number of infected objects: 81
Number of suspicious objects: 0
Duration of the scan process: 5878 sec

Infected Object Name - Virus Name
C:\!KillBox\hp71A5.tmp Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051103-193327-479.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-135749-323.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143704-816.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143723-708.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143729-617.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-145252-484.dll Infected: Trojan.Win32.StartPage.afj
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\Trojanerentfernung\backups\backup-20051104-150656-805.dll Infected: Trojan.Win32.StartPage.afj
C:\Programme\AVPersonal\INFECTED\intell32.VIR Infected: Trojan-Downloader.Win32.Small.vu
C:\Programme\AVPersonal\INFECTED\LD6F34.TMP.VIR Infected: Trojan-Downloader.Win32.Small.bsx
C:\Programme\AVPersonal\INFECTED\LD71C5.TMP.VIR Infected: Trojan-Downloader.Win32.Small.bsx
C:\Programme\AVPersonal\INFECTED\WININET.DLL.VIR Infected: Virus.Win32.Nsag.b
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP57\A0013097.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP57\A0013131.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP57\A0013147.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP57\A0013164.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP57\A0013174.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP58\A0013207.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP58\A0013221.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP58\A0013235.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP58\A0013246.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP59\A0013291.exe Infected: Trojan.Win32.DNSChanger.af
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP59\A0013292.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0017897.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0017939.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0017949.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0018951.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0018952.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0018963.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0018964.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0019963.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0019964.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0020963.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0020964.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0021963.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP61\A0021964.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0022964.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0023961.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0023962.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0024961.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0024962.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0025961.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0025962.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0025978.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0026016.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP62\A0026043.exe Infected: not-virus:Hoax.Win32.Renos.b
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP63\A0026265.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP63\A0026285.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0026303.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0027302.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0028302.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0028315.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0028321.exe Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0028329.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0029329.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0030329.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP64\A0030388.exe Infected: Trojan.Win32.DNSChanger.ag
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0030405.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0030417.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0030432.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0031432.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0031443.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0031454.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP65\A0031466.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP66\A0031487.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP66\A0031499.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP66\A0032499.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP66\A0032511.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032535.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032553.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032569.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032816.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032840.tlb Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032844.exe Infected: Trojan.Win32.StartPage.afj
C:\System Volume Information\_restore{82DB4E11-058F-406C-BBC4-363B9EEF8BEE}\RP67\A0032856.exe Infected: Trojan-Downloader.Win32.Zlob.ap
C:\WINDOWS\system32\hp787B.tmp Infected: Trojan.Win32.StartPage.afj
C:\WINDOWS\system32\hp7AAE.tmp Infected: Trojan.Win32.StartPage.afj
C:\WINDOWS\system32\hp7E86.tmp Infected: Trojan.Win32.StartPage.afj
C:\WINDOWS\system32\hp7F80.tmp Infected: Trojan.Win32.StartPage.afj
C:\WINDOWS\system32\hp92.tmp Infected: Trojan.Win32.StartPage.afj
C:\WINDOWS\system32\mscornet.exe Infected: Trojan-Dropper.Win32.Agent.zv

Scan process completed.




Ich hab hier mein System gescannt und nichts weiter (es gab ja weitere Auswahlmöglichkeiten). Wenn noch etwas anderes gescannt werden soll, sag bitte bescheid.

Übrigens: Ich hab Killbox installiert und die angegebenen Dateien nacheinander reinkopiert... aber bei keiner Datei funktionierte die Funktion "Delete on Reboot" (beim anklicken des roten Kreuzen passierte einfach nichts). Einige Dateien konnte ich mit dem einfach Delete löschen... andere aber nicht und einige kamen immer wieder, obwohl Killbox diese kurz vorher gelöscht hat.
Dieser Beitrag wurde am 04.11.2005 um 21:29 Uhr von Pesco editiert.
Seitenanfang Seitenende
04.11.2005, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"wininet.dll"=-
"nvctrl.exe"=-
"kernel32.dll"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dflnl.exe"=-
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

im abgesicherten modus
loesche manuell oder mit der Killbox:
C:\!KillBox\
C:\WINDOWS\system32\hp787B.tmp
C:\WINDOWS\system32\hp7AAE.tmp
C:\WINDOWS\system32\hp7E86.tmp
C:\WINDOWS\system32\hp7F80.tmp
C:\WINDOWS\system32\hp92.tmp
C:\WINDOWS\system32\dflnl.exe
C:\WINDOWS\system32\mscornet.exe
C:\WINDOWS\warnhp.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

scanne mit ewido-->poste den scanreport
http://virus-protect.org/ewido.html

counterspy
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

dann ueberpruefe mit Kaspersky ob alles gleoscht ist und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 13:33
Member

Beiträge: 13
#18 smitRem


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll is missing!!


-----------------------------------------------------------------------

ewido securiy suite

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 10:28:16, 05.11.2005
+ Report-Checksumme: 57E2E9E4

+ Scanergebnis:

C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnce -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKCURun\RunOnceEx -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnce -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\HKLMRun\RunOnceEx -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\StartMenuAllUsers -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\Autorun\StartMenuCurrentUser -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Anwendungsdaten\PSGuard.com\P.S.Guard\BrowserObjects -> Spyware.PSGuard : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@adserver.71i[1].txt -> Spyware.Cookie.71i : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@ivwbox[2].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@php.sales.tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Cookies\andreas fischer@statcounter[1].txt -> Spyware.Cookie.Statcounter : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051103-193327-479.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-135749-323.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143704-816.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143723-708.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-143729-617.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\backups\backup-20051104-145252-484.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Andreas Fischer\Desktop\Trojanerentfernung\backups\backup-20051104-150656-805.dll -> Spyware.Hijacker.Generic : Gesäubert mit Backup
C:\Program Files\SpyTrooper\Uninstall.exe -> Adware.SpySheriff : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\intell32.VIR -> TrojanDownloader.Small.vu : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\LD6F34.TMP.VIR -> TrojanDownloader.Small.bsx : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\LD71C5.TMP.VIR -> TrojanDownloader.Small.bsx : Gesäubert mit Backup
C:\WINDOWS\system32\1024\ld74D8.tmp -> Dialer.Generic : Gesäubert mit Backup


::Report Ende

---------------------------------------------------------------------------

Spyware


Spyware Scan Details
Start Date: 05.11.2005 10:42:02
End Date: 05.11.2005 11:21:08
Total Time: 39 mins 6 secs

Detected spyware

Trojan.Desktophijack Trojan more information...
Details: Trojan.Desktophijack modifies the home page and desktop settings on a compromised computer.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes


Adw.PSGuard Adware more information...
Details: PSGuard is a fraudulent anti-spyware program which uses desktop advertising to scare users into paying for the product.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Display Inline Images yes


misc.winsoftware.winfixer Misc more information...
Details: Typically part of a bundle attack, WinFixer is a disabled, data repair utility that nags the user to purchase.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware


Adw.WorldAntiSpy Adware more information...
Details: Adw.WorldAntiSpy is a program that supposedly scans the users machine for malware.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com
HKEY_LOCAL_MACHINE\SOFTWARE\WorldAntiSpy.com Version 1.3.10 b3260(Freeman)


World AntiSpy Potentially Unwanted Software more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\Software\WorldAntiSpy.com
HKEY_LOCAL_MACHINE\Software\WorldAntiSpy.com Version 1.3.10 b3260(Freeman)


Winfixer Potentially Unwanted Software more information...
Details: Winfixer is known to be installed through inappropriate bundling and without users consent. It is a software that scans the users system for damaged files and attempts to fix it if the user pays a fee.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_LOCAL_MACHINE\Software\WinSoftware


Adw.WinSoftware.WinAntiSpyware Adware more information...
Details: Adw.WinSoftware.WinAnitspyware is a rogue antispyware product which pesters users with scareware tactics to purchase the product.
Status: Deleted

Infected registry entries detected
HKEY_CURRENT_USER\Software\WinSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\WinSoftware
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Service wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Legacy 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 ConfigFlags 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF\0000 DeviceDesc wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFF NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff\Security Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff\Enum 0 Root\LEGACY_WFF\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff Type 2
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff Start 0
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff Tag 8
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff ImagePath System32\drivers\wff.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff DisplayName wff
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wff Group filter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Service wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Legacy 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 ConfigFlags 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 Class LegacyDriver
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF\0000 DeviceDesc wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFF NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff\Security Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff\Enum 0 Root\LEGACY_WFF\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff Type 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff Start 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff ErrorControl 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff Tag 8
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff ImagePath System32\drivers\wff.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff DisplayName wff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wff Group filter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs C:\WINDOWS\System32\drivers\WFF.sys 1

--------------------------------------------------------------------------


Kaspersky scan
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, November 05, 2005 13:30:35
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 5/11/2005
Kaspersky Anti-Virus database records: 148684
---------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 105003
Number of viruses found: 2
Number of infected objects: 2
Number of suspicious objects: 0
Duration of the scan process: 5402 sec

Infected Object Name - Virus Name
C:\Programme\AVPersonal\INFECTED\WININET.DLL.VIR Infected: Virus.Win32.Nsag.b
C:\WINDOWS\system32\oleext.dll Infected: Trojan.Win32.Small.ev

Scan process completed.
Seitenanfang Seitenende
05.11.2005, 14:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 loesche mit der Killbox:

C:\WINDOWS\system32\oleext.dll
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\ot.ico

loesche:
C:\Program Files\SpyTrooper
C:\WINDOWS\system32\1024

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip
ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum)

psguardrem.reg (klicken)
und der Registry beifuegen


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

installiere QooFix9x v1 , scanne und poste den scanreport
http://virus-protect.org/artikel/tools/quofixhttp.html

Zitat

24.06.2005 13:22 428.032 WRServices.dll ????
Deleting files:
Deletion of c:\windows\wrservices.dll succeeded!
http://forums.spywareinfo.com/lofiversion/index.php/t58413.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 15:15
Member

Beiträge: 13
#20 psguardrem.reg

Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Deleting ShudderLTD/PSGuard.com ...........

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!

-----------------------------------------------------------------------

wininet.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

-----------------------------------------------------------------------


QooFix9x v1 funktioniert bei mir nicht (es wird Error angezeigt -> falsches Betriebssymstem). Und mit deinem Zitat kann ich leider auch nichts anfangen. Soll ich da etwas nachgucken?
Seitenanfang Seitenende
05.11.2005, 15:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 c:\windows\wrservices.dll

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://virusscan.jotti.org/de/
http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


- Speichern als: Test.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate Test.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text ( Info.txt )


regedit /e Info.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies"





Start -- Ausführen -- cmd

DOS öffnet sich

kopiere rein:

dir C:\WINDOWS\system32\wininet.dll /a h > files.txt
notepad files.txt


der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 15:40
Member

Beiträge: 13
#22 Auslastung: 0% 100%

Datei: WRServices.dll
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

-----------------------------------------------------------------------

Test.bat

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000

---------------------------------------------------------------------


wininet.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

Verzeichnis von C:\WINDOWS\system32

03.09.2005 00:53 664.064 wininet.dll
1 Datei(en) 664.064 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Andreas Fischer
Dieser Beitrag wurde am 05.11.2005 um 15:45 Uhr von Pesco editiert.
Seitenanfang Seitenende
05.11.2005, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 installiere QooFix9x v1 , scanne und poste den scanreport
http://virus-protect.org/artikel/tools/quofixhttp.html

versuche es noch mal, nun nimm meinen Link (ich habe ihn gerade hochgeladen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 16:05
Member

Beiträge: 13
#24 Auch mit dem neuen Link gehts nicht. Beim Doppelklick auf RunThis.bat öffnet sich zwar ein kleines Fenster, da steht aber, dass ich entweder eine falsche Version habe oder das Programm wird nicht von meinem Betriebssystem unterstützt.
Seitenanfang Seitenende
05.11.2005, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25

Zitat

Sabina postete
und poste noch mal die 4 Logs von datfindbat....bis Juni 2005 vom Datum her ;)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 16:09
Member

Beiträge: 13
#26 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

Verzeichnis von C:\WINDOWS\system32

05.11.2005 15:27 890 vsconfig.xml
05.11.2005 00:07 13.588 wpa.bak
05.11.2005 00:07 13.588 wpa.dbl
01.11.2005 16:37 380.486 perfh009.dat
01.11.2005 16:37 52.900 perfc009.dat
01.11.2005 16:37 63.778 perfc007.dat
01.11.2005 16:37 391.330 perfh007.dat
01.11.2005 16:37 897.954 PerfStringBackup.INI
01.11.2005 16:36 231.184 FNTCACHE.DAT
01.11.2005 14:37 253 spupdwxp.log
17.10.2005 19:58 65.536 QuickTimeVR.qtx
17.10.2005 19:57 49.152 QuickTime.qts
15.10.2005 10:48 164.352 SpoonUninstall.exe
05.10.2005 08:36 2.301.792 MRT.exe
04.10.2005 17:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
20.09.2005 11:15 3.799 jupdate-1.5.0_04-b05.log
19.09.2005 18:02 4.212 zllictbl.dat
19.09.2005 17:34 0 h323log.txt
19.09.2005 17:33 16.832 amcompat.tlb
19.09.2005 17:33 23.392 nscompat.tlb
19.09.2005 17:31 56 D565C814A7.sys
19.09.2005 16:47 25.065 wmpscheme.xml
19.09.2005 16:43 261 $winnt$.inf
19.09.2005 16:41 2.951 CONFIG.NT
19.09.2005 16:40 488 WindowsLogon.manifest
19.09.2005 16:40 488 logonui.exe.manifest
19.09.2005 16:40 749 sapi.cpl.manifest
19.09.2005 16:40 749 wuaucpl.cpl.manifest
19.09.2005 16:40 749 cdplayer.exe.manifest
19.09.2005 16:40 749 nwc.cpl.manifest
19.09.2005 16:40 749 ncpa.cpl.manifest
19.09.2005 16:39 21.740 emptyregdb.dat
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
26.07.2005 05:39 397.824 rpcss.dll
26.07.2005 05:39 37.888 olecnv32.dll
26.07.2005 05:39 74.752 olecli32.dll
26.07.2005 05:39 101.376 txflog.dll
26.07.2005 05:39 11.776 xolehlp.dll
26.07.2005 05:39 1.285.120 ole32.dll
26.07.2005 05:39 945.152 msdtctm.dll
26.07.2005 05:39 66.560 mtxclu.dll
26.07.2005 05:39 91.136 mtxoci.dll
26.07.2005 05:39 161.280 msdtcuiu.dll
26.07.2005 05:39 425.472 msdtcprx.dll
26.07.2005 05:39 540.160 comuid.dll
26.07.2005 05:39 243.200 es.dll
26.07.2005 05:39 1.267.200 comsvcs.dll
26.07.2005 05:39 498.688 clbcatq.dll
26.07.2005 05:39 60.416 colbact.dll
26.07.2005 05:39 97.792 comrepl.dll
26.07.2005 05:39 225.792 catsrv.dll
26.07.2005 05:39 110.080 clbcatex.dll
26.07.2005 05:39 625.152 catsrvut.dll
08.07.2005 17:28 76.800 remotesp.tsp
08.07.2005 17:28 249.344 tapisrv.dll
29.06.2005 02:49 254.976 icm32.dll
29.06.2005 02:49 74.240 mscms.dll
15.06.2005 18:49 295.936 kerberos.dll
11.06.2005 00:53 57.856 spoolsv.exe
09.06.2005 21:32 692.736 DivX.dll
06.06.2005 22:13 356.436 DivXMedia.ax
03.06.2005 02:52 127.078 javaws.exe
03.06.2005 02:52 49.265 jpicpl32.cpl
03.06.2005 01:24 49.250 javaw.exe
03.06.2005 01:24 49.248 java.exe

-------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

Verzeichnis von C:\DOKUME~1\ANDREA~1\LOKALE~1\Temp

05.11.2005 15:28 16.384 ~DFA05A.tmp
05.11.2005 15:28 16.384 ~DF3284.tmp
05.11.2005 15:28 512 ~DFEE0C.tmp
05.11.2005 15:28 16.384 ~DFECDE.tmp
05.11.2005 15:27 1.030 jusched.log
05.11.2005 15:21 368.980 hpodvd09.log
05.11.2005 15:18 16.384 ~DF8448.tmp
05.11.2005 15:18 16.384 ~DF5C92.tmp
05.11.2005 13:48 16.384 ~DFA74A.tmp
05.11.2005 13:48 16.384 ~DF7FB7.tmp
05.11.2005 13:43 1.212.416 ~DFF18E.tmp
05.11.2005 13:41 0 uis6.tmp
05.11.2005 13:37 16.384 ~DF739D.tmp
05.11.2005 13:36 49.152 ~DF9AB.tmp
05.11.2005 13:36 16.384 ~DFDE44.tmp
05.11.2005 13:36 16.384 ~DF9296.tmp
05.11.2005 13:36 32.768 ~DF15DB.tmp
05.11.2005 13:35 16.384 ~DF2242.tmp
05.11.2005 11:55 1.212.416 ~DFFBF5.tmp
05.11.2005 11:54 16.384 ~DF3AAA.tmp
05.11.2005 11:54 16.384 ~DFEA6E.tmp
05.11.2005 11:54 49.152 ~DF6572.tmp
05.11.2005 11:53 32.768 ~DFD4B8.tmp
05.11.2005 11:53 16.384 ~DFC098.tmp
05.11.2005 10:41 1.212.416 ~DF9AB5.tmp
05.11.2005 10:38 49.152 ~DF740.tmp
05.11.2005 10:38 32.768 ~DFF505.tmp
05.11.2005 10:38 16.384 ~DFC331.tmp
05.11.2005 08:37 16.384 ~DF8206.tmp
05.11.2005 08:37 16.384 ~DF76D1.tmp
30 Datei(en) 4.532.058 Bytes
0 Verzeichnis(se), 13.952.491.520 Bytes frei

-------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

Verzeichnis von C:\WINDOWS

05.11.2005 15:27 0 0.log
05.11.2005 15:27 896.378 WindowsUpdate.log
05.11.2005 15:27 159 wiadebug.log
05.11.2005 15:27 50 wiaservc.log
05.11.2005 15:27 2.048 bootstat.dat
05.11.2005 15:23 260.612 ntbtlog.txt
05.11.2005 15:21 32.556 SchedLgU.Txt
05.11.2005 09:13 177.589 setupact.log
05.11.2005 00:07 759.839 setuplog.txt
04.11.2005 21:09 140 winamp.ini
04.11.2005 18:45 24.487 setupapi.log
04.11.2005 18:35 54.156 QTFont.qfn
03.11.2005 19:13 59.392 streamhlp.dll
01.11.2005 19:26 766 win.ini
01.11.2005 16:34 1.374 imsins.log
01.11.2005 16:34 125.310 tsoc.log
01.11.2005 16:34 16.074 ocmsn.log
01.11.2005 16:34 115.317 comsetup.log
01.11.2005 16:34 69.385 ntdtcsetup.log
01.11.2005 16:34 48.437 iis6.log
01.11.2005 16:34 31.725 KB899587.log
01.11.2005 16:34 157.712 ocgen.log
01.11.2005 16:34 16.190 msgsocm.log
01.11.2005 16:34 313.154 FaxSetup.log
01.11.2005 16:34 13.230 updspapi.log
01.11.2005 16:34 1.374 imsins.BAK
01.11.2005 16:34 30.847 KB896422.log
01.11.2005 16:34 30.584 KB885835.log
01.11.2005 16:34 29.588 KB885836.log
01.11.2005 16:34 30.408 KB885250.log
01.11.2005 16:34 30.534 KB901017.log
01.11.2005 16:34 30.852 KB899591.log
01.11.2005 16:34 30.659 KB893756.log
01.11.2005 16:34 27.967 KB896423.log
01.11.2005 16:34 29.164 KB873339.log
01.11.2005 16:34 29.232 KB888113.log
01.11.2005 16:33 29.555 KB887742.log
01.11.2005 16:33 28.960 KB887472.log
01.11.2005 16:33 29.318 KB896358.log
01.11.2005 16:33 28.290 KB891781.log
01.11.2005 16:33 1.024.746 setupapi.log.0.old
01.11.2005 16:33 33.631 KB902400.log
01.11.2005 16:33 25.514 KB890046.log
01.11.2005 16:33 22.238 KB896688.log
01.11.2005 16:32 21.556 KB893066.log
01.11.2005 16:32 21.901 KB905414.log
01.11.2005 16:32 21.143 KB901214.log
01.11.2005 16:32 19.730 KB888302.log
01.11.2005 16:32 21.377 KB900725.log
01.11.2005 16:32 13.024 KB886185.log
01.11.2005 16:32 18.671 KB904706.log
01.11.2005 16:32 18.973 KB905749.log
01.11.2005 16:31 17.764 KB896428.log
01.11.2005 16:31 18.429 KB894391.log
01.11.2005 16:31 20.407 KB890859.log
01.11.2005 15:22 5.941 KB893803v2.log
01.11.2005 15:21 6.873 KB898461.log
01.11.2005 14:45 1.165 OEWABLog.txt
01.11.2005 14:39 29.290 spupdsvc.log
01.11.2005 14:39 360 DtcInstall.log
01.11.2005 14:39 44.735 wmsetup.log
01.11.2005 14:39 316.640 WMSysPr9.prx
01.11.2005 14:07 426.271 svcpack.log
01.11.2005 14:03 200 cmsetacl.log
01.11.2005 14:03 1.330 sessmgr.setup.log
27.10.2005 20:03 28.712 xpsp1hfm.log
27.10.2005 20:03 34.304 KB828741.log
27.10.2005 20:02 28.668 KB835732.log
27.10.2005 20:02 20.862 Q329834.log
27.10.2005 20:02 31.754 KB823559.log
27.10.2005 20:01 20.519 Q329048.log
27.10.2005 20:01 19.319 KB834707-IE6-20040929.115007.log
27.10.2005 20:01 23.602 Q810577.log
27.10.2005 20:00 20.439 Q810833.log
27.10.2005 19:59 17.332 Q811630.log
27.10.2005 19:59 16.289 Q329441.log
27.10.2005 19:58 16.030 Q817606.log
27.10.2005 19:57 12.915 Q329170.log
27.10.2005 19:56 1.587 Q329115.log
27.10.2005 19:56 1.227 Q329390.log
27.10.2005 19:56 961 Q323255.log
27.10.2005 19:45 7.195 KB842773.log
27.10.2005 16:38 1.409 QTFont.for
27.10.2005 16:37 649 GEARInstall.log
05.10.2005 17:15 403 nsw.log
26.09.2005 15:13 104.275 hpoins04.dat
26.09.2005 15:12 59.976 dasetup.log
26.09.2005 15:12 4.161 ODBCINST.INI
26.09.2005 15:11 1.442 COM+.log
26.09.2005 15:09 480 ODBC.INI
26.09.2005 14:52 15.378 Windows Update.log
19.09.2005 19:04 59 vbaddin.ini
19.09.2005 17:44 161.745 DirectX.log
19.09.2005 17:33 234 wmsetup10.log
19.09.2005 17:32 0 Sti_Trace.log
19.09.2005 17:30 1.348 regopt.log
19.09.2005 17:30 231 system.ini
19.09.2005 17:30 0 setuperr.log
19.09.2005 17:13 299.552 WMSysPrx.prx
19.09.2005 16:44 8.192 REGLOCS.OLD
19.09.2005 16:41 0 control.ini
19.09.2005 16:40 749 WindowsShell.Manifest
19.09.2005 16:39 36 vb.ini
24.06.2005 13:22 428.032 WRServices.dll

--------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 483C-3C44

Verzeichnis von C:\

05.11.2005 16:08 0 sys.txt
05.11.2005 16:07 8.272 system.txt
05.11.2005 16:07 1.712 systemtemp.txt
05.11.2005 16:06 102.570 system32.txt
05.11.2005 15:27 805.306.368 pagefile.sys
05.11.2005 09:13 1.069 smitfiles.txt
01.11.2005 14:03 211 boot.ini
01.11.2005 13:50 47.564 NTDETECT.COM
01.11.2005 13:50 251.184 ntldr
26.09.2005 15:14 1.159 _Sid.txt
19.09.2005 16:41 0 IO.SYS
19.09.2005 16:41 0 CONFIG.SYS
19.09.2005 16:41 0 AUTOEXEC.BAT
19.09.2005 16:41 0 MSDOS.SYS
18.08.2001 13:00 4.952 bootfont.bin
15 Datei(en) 805.725.061 Bytes
0 Verzeichnis(se), 13.952.491.520 Bytes frei
Seitenanfang Seitenende
05.11.2005, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 C:\WINDOWS\system32\D565C814A7.sys
C:\WINDOWS\system32\WRServices.dll
C:\WINDOWS\system32\streamhlp.dll
C:\WINDOWS\system32\wininet.dll

lade diese Dateien hoch und berichte

abwarten --> kopiere das Ergebnis in das Sicherheitsforum

http://www.virustotal.com/flash/index_en.html
http://sandbox.norman.no/live_4.html

scanne mit Spybot und poste den scanbericht
http://www.safer-networking.org/en/download/index.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 16:57
Member

Beiträge: 13
#28 Auslastung: 0% 100%

Datei: D565C814A7.sys
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

------------------------------------------------------------------

Auslastung: 0% 100%

Datei: wininet.dll
Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

----------------------------------------------------------------------

Die anderen beiden Dateien konnten nicht gescannt werden, weil sie angeblich 0 Bytes groß sind.


---------------------------------------------------------------------

Spybot

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1004336348-1965331169-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi
Seitenanfang Seitenende
05.11.2005, 17:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 versuche es hier: ueberpuefe

Zitat

24.06.2005 13:22 428.032 WRServices.dll

Zitat

03.11.2005 19:13 59.392 streamhlp.dll
C:\WINDOWS\system32\D565C814A7.sys
C:\WINDOWS\system32\WRServices.dll
C:\WINDOWS\system32\streamhlp.dll
C:\WINDOWS\system32\wininet.dll
http://sandbox.norman.no/live_4.html

-----------------------------
scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2005, 17:26
Member

Beiträge: 13
#30 Auslastung: 0% 100%

Datei: WRServices.dll
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

-----------------------------------------------------------------------

Auslastung: 0% 100%

Datei: streamhlp.dll
Status: OK
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

--------------------------------------------------------------------

Der Scan mit Panda hat nicht funktioniert:

An error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try again

Ich hab bereits rebootet, aber der Fehler taucht immer wieder auf.
Seitenanfang Seitenende