Home » Viren, Trojaner & Malware Forum » W32/Nsag.B Virus » Themenansicht

W32/Nsag.B Virus
#0
13.11.2005, 13:54
oDEm
...neu hier

Beiträge: 4
#1 Hallo erstmal,
Ich kenne mich zwar mit hardware ziemlich gut aus aber bei Viren hörts auf.
Ich habe mir, weil mein system langsam lief und ich staendig irgentwelche fenster eingeblendet bekommen habe mal ein paar antispyware und viren progs geholt.
Nun habe ich ne Menge Adware und Spyware gelöscht und sitze auf dem oben genannten Virus. Mein AV-Guard blendet mir ständig ein ,dass dieser Virus aktiv ist.
Wie krieg ich den runter, was zur hölle ist Hijack und so weiter.

Ich wiederhole: ich habe von sowas KEINE! ahnung ;)

Mfg Benjamin

Danke schon mal im vorraus für Antworten

EDIT:

Logfile of HijackThis v1.99.1
Scan saved at 14:54:53, on 13.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Exodus\Exodus.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Games\HLSW\hlsw_1_0_0-beta3.exe
D:\Games\HLSW\hlsw_1_0_0-beta3.exe
C:\Dokumente und Einstellungen\oDEm\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\oDEm\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://cs:cs@192.168.31.70/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [smiley.exe] c:\smiley\smiley.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Exodus] "C:\Programme\Exodus\Exodus.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office!\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office!\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{730D2B47-7745-47B6-86EF-D145DC65B1D0}: NameServer = 192.168.20.201,192.168.10.1
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

!!!

Das is nen log den ich mit diesem hijack gemacht habe, anscheinend is der ja wichtig

koennte nich jetze ma wer antworten?

Finds bloed einfach ignoriert zu werden

Ja es gibt nochj andere threads zu dem Thema aber da blick ich nich durch



also bitte antworte ma sabrina oder wer auch immer hier ahnung hat
Dieser Beitrag wurde am 13.11.2005 um 14:48 Uhr von oDEm editiert.
Seitenanfang Seitenende
13.11.2005, 16:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@oDEm

scanne:
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\oDEm\LOKALE~1\Temp\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://cs:cs@192.168.31.70/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [smiley.exe] c:\smiley\smiley.exe
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

PC neustarten

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html

smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 17:22
oDEm
...neu hier

Themenstarter

Beiträge: 4
#3 erster log von datfin.bat :
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C002-5A95

Verzeichnis von C:\WINDOWS\system32

13.11.2005 12:57 21.840 SIntfNT.dll
13.11.2005 12:57 17.212 SIntf32.dll
13.11.2005 12:57 12.067 SIntf16.dll
12.11.2005 22:17 98.304 CmdLineExt.dll
11.11.2005 21:14 33.533 CoreVorbis-uninstall.exe
11.11.2005 21:14 51.600 RadLightMPCUninstall.exe
10.11.2005 22:53 18.608 ravgd.sys
10.11.2005 22:53 111.312 avkfsavp.sys
10.11.2005 22:53 65.536 avkwfilt.sys
10.11.2005 22:53 45.056 WNASPI32.DLL
07.11.2005 11:26 2.184 wpa.dbl
31.10.2005 19:17 316.594 perfh007.dat
31.10.2005 19:17 311.604 perfh009.dat
31.10.2005 19:17 48.156 perfc007.dat
31.10.2005 19:17 39.992 perfc009.dat
31.10.2005 19:17 723.744 PerfStringBackup.INI
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
08.10.2005 18:22 34.064 lhacm.acm
05.10.2005 10:24 112.584 FNTCACHE.DAT
14.09.2005 20:17 53.248 pxhpinst.exe
11.08.2005 10:29 3.243 jupdate-1.4.2_06-b03.log
11.07.2005 14:08 1.682 KGyGaAvL.sys


2.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C002-5A95

Verzeichnis von C:\DOKUME~1\oDEm\LOKALE~1\Temp

13.11.2005 17:20 16.384 Perflib_Perfdata_598.dat
13.11.2005 17:20 16.384 ~DF2F4D.tmp
13.11.2005 17:20 512 ~DFFA0E.tmp
13.11.2005 17:20 16.384 ~DFF9CC.tmp
4 Datei(en) 49.664 Bytes
0 Verzeichnis(se), 1.843.200.000 Bytes frei


3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C002-5A95

Verzeichnis von C:\WINDOWS

13.11.2005 17:19 159 wiadebug.log
13.11.2005 17:19 50 wiaservc.log
13.11.2005 17:19 2.048 bootstat.dat
13.11.2005 12:03 1.409 QTFont.for
13.11.2005 12:03 54.156 QTFont.qfn
12.11.2005 23:53 69 NeroDigital.ini
10.11.2005 22:49 155 winamp.ini
10.11.2005 14:51 797 VPlayer.INI
10.11.2005 14:51 52 VplayerINI.vpl
02.11.2005 18:49 316.640 WMSysPr9.prx
08.10.2005 11:56 1.729 ST4UNST.002
08.10.2005 11:55 1.729 ST4UNST.001
08.10.2005 11:55 1.793 ST4UNST.000
11.09.2005 21:21 729.088 iun6002.exe
12.08.2005 08:12 31 EPSMTL32.TXT
12.08.2005 08:11 25 CDE CX3600FGD.ini
05.08.2005 20:30 192 SIERRA.INI
04.08.2005 15:19 8.192 d3dx.dat
17.07.2005 20:56 400 ODBC.INI
17.07.2005 20:49 286.720 Setup1.exe
17.07.2005 20:49 73.216 ST6UNST.EXE
14.07.2005 13:51 256 _delis32.ini
08.07.2005 14:11 100.482 UninstallThunderbird.exe
08.07.2005 14:11 5.674 mozver.dat
08.07.2005 14:11 513 win.ini
08.07.2005 14:11 513 win.tmp
08.07.2005 14:10 0 nsreg.dat
08.07.2005 14:10 99.971 UninstallFirefox.exe
07.07.2005 21:21 0 Sti_Trace.log
07.07.2005 21:20 231 system.ini
07.07.2005 21:20 231 system.tmp
07.07.2005 20:31 8.192 REGLOCS.OLD

4.

lume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C002-5A95

Verzeichnis von C:\

13.11.2005 17:30 0 sys.txt
13.11.2005 17:30 4.087 system.txt
13.11.2005 17:30 451 systemtemp.txt
13.11.2005 17:29 94.520 system32.txt
13.11.2005 17:19 1.207.959.552 pagefile.sys
13.11.2005 15:58 1.022 smitfiles.txt
07.07.2005 20:28 0 MSDOS.SYS
07.07.2005 20:28 0 IO.SYS
07.07.2005 20:28 0 CONFIG.SYS
07.07.2005 20:28 0 AUTOEXEC.BAT
07.07.2005 20:23 194 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
14 Datei(en) 1.208.333.934 Bytes
0 Verzeichnis(se), 1.842.573.312 Bytes frei

ok und was jetze??
Seitenanfang Seitenende
13.11.2005, 17:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@oDEm

smitRem TOOL (Entfernungstool)
SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 17:26
oDEm
...neu hier

Themenstarter

Beiträge: 4
#5 wozu der spass mit den 4 logs??
Seitenanfang Seitenende
13.11.2005, 17:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wieso Spass....damit sehe ich, was so alles auf dem PC ist...in diesem Fall habe ich nichts gefunden...also muessen wir weiter graben...bis das Problem behoben ist...das willst du doch, oder ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2005, 17:53
oDEm
...neu hier

Themenstarter

Beiträge: 4
#7 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)

glaube der shit is runter !!!! XD


und noch ne Frage :

Was könnte das für ein Prozess sein :

E_FATI9BE.EXE (ich hab doch ntfs auf beiden pladden?!?!?!?!)

Ich hab noch nen Prozess namens StarWindService
OSE.Exe hab ich noch am laufen und qttask und cftmon.exe und sdhelp und spoolsv sowie haufenweise vschosts , 1x smss , 1x csrss und das wars
Seitenanfang Seitenende
13.11.2005, 22:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html

oleext.dll <--loeschen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.11.2005, 09:25
chwirthm
...neu hier

Beiträge: 1
#9 Hallo, kann ich mich da mal mit reinhängen? Ich glaube ich habe auch das problem mit Win32.nsag.b.
außerdem habe ich noch die Trojaner Win32.small.ev, win32.startpage.dh und trojan-download.win32.agent.yr.
Ich bekomme allerdings nichts gelöscht. Hilfe!!!!
Außerdem habe ich eben HijackThis zum erstenmal gelesen...
Seitenanfang Seitenende
14.11.2005, 12:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@chwirthm

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

kopiere hier die 4 Logs
http://virus-protect.org/datfindbat.html

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 08:28
ingfalk
...neu hier

Beiträge: 9
#11 Hallo,

wie ich sehe geht der Virus ganz schon rum ;).

Naja ich bin auch leider befallen ;( und würde um eure Hilfe bitten und wäre furchtbar dankbar

Hier meine Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 08:19:47, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sdkmx32.exe
C:\PROGRAMME\ANTIVIR\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ieuk.exe
C:\DOKUME~1\J0ker\LOKALE~1\Temp\15.tmp.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\J0ker\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {064CBB14-4C98-249C-A038-1AE69061C429} - C:\WINDOWS\system32\msjf.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {FBE2FA5F-7935-0120-3FB8-49D74C7057E5} - C:\WINDOWS\system32\addbr.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ieuk.exe] C:\WINDOWS\system32\ieuk.exe
O4 - HKLM\..\Run: [15.tmp] C:\DOKUME~1\J0ker\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [16.tmp] C:\DOKUME~1\J0ker\LOKALE~1\Temp\16.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [15.tmp.exe] C:\DOKUME~1\J0ker\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [16.tmp.exe] C:\DOKUME~1\J0ker\LOKALE~1\Temp\16.tmp.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104631793437
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA9B1761-5160-4DBD-884C-06CEB6F3627E}: NameServer = 62.72.64.241 62.72.64.237
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkmx32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Thx schonmal im vorraus.

Greetz

Ingi
Seitenanfang Seitenende
29.12.2005, 17:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ingfalk

Start -- Ausführen -- schreib rein: cmd

dann kopiere rein:

sc stop Network Security Service

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Network Security Service

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

del C:\WINDOWS\system32\sdkmx32.exe

[klicke "enter"]

-----------------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\njwtc.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing

O2 - BHO: Class - {064CBB14-4C98-249C-A038-1AE69061C429} - C:\WINDOWS\system32\msjf.dll

O4 - HKLM\..\Run: [ieuk.exe] C:\WINDOWS\system32\ieuk.exe
O4 - HKLM\..\Run: [15.tmp] C:\DOKUME~1\J0ker\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [16.tmp] C:\DOKUME~1\J0ker\LOKALE~1\Temp\16.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [15.tmp.exe] C:\DOKUME~1\J0ker\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [16.tmp.exe] C:\DOKUME~1\J0ker\LOKALE~1\Temp\16.tmp.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\sdkmx32.exe

pC neustarten

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

ADSSpy--> poste das log
http://virus-protect.org/artikel/tools/ADSSpy.exe

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Logs ( 3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html

------------------
Info
http://virus-protect.org/artikel/spyware/trojanagenteo.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 18:45
ingfalk
...neu hier

Beiträge: 9
#13 Alles klar alle einträge die du mir hinterlassen hast sind gefixt. und nu noch die Lgfiles.

smitfiles.txt:


smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key

WinHound.com key present!



Running WinHound.com fix!



WinHound.com key was successfully removed! ;)

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

Winhound


~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 344 'explorer.exe'

Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN! ;)


ADSSpy.txt:

C:\WINDOWS\_detmp.1 : wtqtue (11895 bytes)
C:\WINDOWS\_detmp.2 : otiywo (35447 bytes)
C:\WINDOWS\_detmp.2 : wkqpr (35447 bytes)
C:\WINDOWS\KB886185.log : oimiqs (11895 bytes)
C:\WINDOWS\ocgen.log : jliggq (13581 bytes)
C:\WINDOWS\ODBCINST.INI : bltmja (197761 bytes)
C:\WINDOWS\sessmgr.setup.log : mneefn (3567 bytes)
C:\WINDOWS\setupact.log : xiwrpi (13581 bytes)
C:\WINDOWS\setuperr.log : qbpwjs (197761 bytes)
C:\WINDOWS\setuplog.txt : oqyzmb (133791 bytes)
C:\WINDOWS\spuninst.log : balfrx (11895 bytes)
C:\WINDOWS\Sti_Trace.log : achbmd (3567 bytes)
C:\WINDOWS\Sti_Trace.log : gringm (11895 bytes)
C:\WINDOWS\tsoc.log : kocjw (133791 bytes)
C:\WINDOWS\winamp.ini : hwkolp (35447 bytes)
C:\WINDOWS\winamp.ini : yfwsgq (35447 bytes)

So und nu noch die 4 Logs von Datfind:

Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 001D-7F36

Verzeichnis von C:\WINDOWS\system32

29.12.2005 18:29 17.145 nvapps.xml
29.12.2005 08:48 23.622 stub16.ini
29.12.2005 08:48 24.565 stub27.ini
29.12.2005 02:12 23.818 stub26.ini
29.12.2005 02:12 23.904 stub25.ini
29.12.2005 01:13 23.264 stub15.ini
28.12.2005 23:29 24.703 stub40.ini
28.12.2005 23:26 24.420 stub39.ini
28.12.2005 23:21 24.711 stub38.ini
28.12.2005 23:19 24.442 stub37.ini
28.12.2005 23:19 24.735 stub36.ini
28.12.2005 23:18 24.305 stub35.ini
28.12.2005 23:16 24.912 stub34.ini
28.12.2005 23:13 24.391 stub33.ini
28.12.2005 23:12 24.500 stub32.ini
28.12.2005 23:09 24.410 stub31.ini
28.12.2005 23:07 24.809 stub30.ini
28.12.2005 23:01 24.364 stub29.ini
28.12.2005 22:57 24.101 stub28.ini
28.12.2005 22:48 23.580 stub24.ini
28.12.2005 22:46 24.085 stub23.ini
28.12.2005 22:43 23.060 stub22.ini
28.12.2005 22:42 23.219 stub21.ini
28.12.2005 22:39 23.685 stub20.ini
28.12.2005 22:38 22.835 stub19.ini
28.12.2005 22:37 22.118 stub18.ini
28.12.2005 22:36 23.395 stub17.ini
28.12.2005 12:04 23.847 stub14.ini
28.12.2005 06:46 23.745 stub13.ini
28.12.2005 06:45 23.567 stub12.ini
28.12.2005 06:45 23.501 stub11.ini
28.12.2005 04:03 23.416 stub10.ini
28.12.2005 03:36 23.496 stub9.ini
28.12.2005 03:35 23.318 stub8.ini
28.12.2005 03:35 23.344 stub7.ini
28.12.2005 03:24 23.619 stub6.ini
28.12.2005 03:23 23.500 stub5.ini
28.12.2005 01:15 23.246 stub4.ini
28.12.2005 00:43 23.166 stub3.ini
28.12.2005 00:33 22.711 stub2.ini
28.12.2005 00:33 22.854 stub1.ini
26.12.2005 18:14 13.581 bqzdk.dat
25.12.2005 21:43 1.199 logs1.ini
25.12.2005 19:18 2.206 wpa.dbl
23.12.2005 21:10 11.895 sdkmx32.exe
23.12.2005 20:20 11.895 mfcrz32.exe
23.12.2005 19:37 35.447 ieuk.exe
23.12.2005 12:35 16.832 amcompat.tlb
23.12.2005 12:35 23.392 nscompat.tlb
23.12.2005 12:35 2.272 w95inf16.dll
23.12.2005 12:35 4.608 w95inf32.dll
23.12.2005 09:50 35.447 ipbm32.exe
12.12.2005 22:20 13.581 xwefu.txt
12.12.2005 02:00 133.791 addbr.dll
10.12.2005 19:59 3.567 znrrz.txt
02.12.2005 12:59 0 logs2.ini
30.10.2005 19:11 380.350 perfh009.dat
30.10.2005 19:11 52.764 perfc009.dat
30.10.2005 19:11 391.000 perfh007.dat
30.10.2005 19:11 63.580 perfc007.dat
30.10.2005 19:11 897.954 PerfStringBackup.INI
29.10.2005 11:36 142.832 FNTCACHE.DAT
02.08.2005 20:50 6 reboot.txt







Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 001D-7F36

Verzeichnis von C:\DOKUME~1\J0ker\LOKALE~1\Temp

29.12.2005 18:30 16.384 ~DFF987.tmp
29.12.2005 18:30 512 ~DFF012.tmp
29.12.2005 18:30 16.384 ~DFF005.tmp
29.12.2005 18:30 32.768 ~DF9AD8.tmp
29.12.2005 18:29 2.550 8.tmp
29.12.2005 18:05 16.384 ~DFF99.tmp
29.12.2005 18:05 16.384 ~DFF651.tmp
7 Datei(en) 101.366 Bytes
0 Verzeichnis(se), 2.287.128.576 Bytes frei


Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 001D-7F36

Verzeichnis von C:\WINDOWS

29.12.2005 18:02 0 0.log
29.12.2005 18:01 50 wiaservc.log
29.12.2005 18:01 159 wiadebug.log
29.12.2005 18:01 2.048 bootstat.dat
29.12.2005 18:00 32.618 SchedLgU.Txt
29.12.2005 18:00 396.578 WindowsUpdate.log
29.12.2005 09:34 23.416 stub10.ini
29.12.2005 09:34 23.496 stub9.ini
29.12.2005 09:33 23.318 stub8.ini
29.12.2005 09:25 23.344 stub7.ini
29.12.2005 09:24 23.619 stub6.ini
29.12.2005 09:24 23.500 stub5.ini
29.12.2005 09:23 23.246 stub4.ini
29.12.2005 09:22 23.166 stub3.ini
29.12.2005 09:10 22.711 stub2.ini
29.12.2005 09:09 22.854 stub1.ini
28.12.2005 09:25 116 NeroDigital.ini
27.12.2005 06:19 1.199 logs1.ini
26.12.2005 00:56 197.761 msdoh.dat
23.12.2005 18:47 35.447 atlng.exe
23.12.2005 12:35 44.786 wmsetup.log
23.12.2005 02:35 3.567 wzrey.dat
22.12.2005 07:36 5.632 Thumbs.db
20.12.2005 17:08 74.380 _detmp.1
20.12.2005 17:08 0 setuperr.log
20.12.2005 17:08 222.827 setupact.log
20.12.2005 17:08 192 winamp.ini
20.12.2005 17:08 14.224 spuninst.log
17.12.2005 17:50 90.077 tsoc.log
17.12.2005 17:50 69.632 _detmp.2
16.12.2005 05:36 0 Sti_Trace.log
16.12.2005 05:36 530.441 setuplog.txt
15.12.2005 00:42 1.193 bobdown.ini
11.12.2005 11:37 197.761 trsie.log
09.12.2005 23:58 13.581 hwkol.txt
09.12.2005 06:41 197.761 sxvga.txt
09.12.2005 02:25 990.144 setupapi.log
08.12.2005 01:07 133.791 ieot32.dll
05.12.2005 20:00 4.335 ODBCINST.INI
05.12.2005 20:00 2.409 sessmgr.setup.log
05.12.2005 20:00 124.204 ocgen.log
05.12.2005 20:00 8.579 KB886185.log
02.12.2005 23:12 0 logs2.ini
24.11.2005 21:24 379 wmsetup10.log
24.11.2005 21:22 558 win.ini
24.11.2005 21:22 316.640 WMSysPr9.prx
28.10.2005 12:40 500 ODBC.INI
09.10.2005 14:11 615 eReg.dat
22.09.2005 15:08 994 DirectX.log
22.09.2005 15:07 204 RomeTW.ini
22.08.2005 23:20 335.780 iis6.log


Datentr„ger in Laufwerk C: ist WinXP
Volumeseriennummer: 001D-7F36

Verzeichnis von C:\

29.12.2005 18:37 0 sys.txt
29.12.2005 18:36 6.438 system.txt
29.12.2005 18:35 571 systemtemp.txt
29.12.2005 18:32 112.183 system32.txt
29.12.2005 18:12 1.462 smitfiles.txt
29.12.2005 18:01 603.979.776 pagefile.sys
20.10.2005 01:17 309 boot.ini
24.08.2005 00:21 47.564 NTDETECT.COM
24.08.2005 00:21 251.184 ntldr
02.11.2001 23:39 0 MSDOS.SYS
02.11.2001 23:39 0 IO.SYS
02.11.2001 23:39 0 CONFIG.SYS
02.11.2001 23:39 0 AUTOEXEC.BAT
23.08.2001 14:00 4.952 bootfont.bin
23.08.2001 13:00 24.448 NTBOOTDD.SYS
15 Datei(en) 604.428.887 Bytes
0 Verzeichnis(se), 2.287.116.288 Bytes frei



Aber habe das Prob. leider immer noch wenigtens ist dieses Schei... sicherheitscenter udn so weg aber dieser Virus ist noch da.AntiVir meldet sich immer ;)

Plz Help Me.Thx

Greetz

Ingi
Seitenanfang Seitenende
29.12.2005, 18:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ingfalk

loesche mit dem Tool alle Streams

ADSSpy

Zitat

C:\WINDOWS\_detmp.1 : wtqtue (11895 bytes)
C:\WINDOWS\_detmp.2 : otiywo (35447 bytes)
C:\WINDOWS\_detmp.2 : wkqpr (35447 bytes)
C:\WINDOWS\KB886185.log : oimiqs (11895 bytes)
C:\WINDOWS\ocgen.log : jliggq (13581 bytes)
C:\WINDOWS\ODBCINST.INI : bltmja (197761 bytes)
C:\WINDOWS\sessmgr.setup.log : mneefn (3567 bytes)
C:\WINDOWS\setupact.log : xiwrpi (13581 bytes)
C:\WINDOWS\setuperr.log : qbpwjs (197761 bytes)
C:\WINDOWS\setuplog.txt : oqyzmb (133791 bytes)
C:\WINDOWS\spuninst.log : balfrx (11895 bytes)
C:\WINDOWS\Sti_Trace.log : achbmd (3567 bytes)
C:\WINDOWS\Sti_Trace.log : gringm (11895 bytes)
C:\WINDOWS\tsoc.log : kocjw (133791 bytes)
C:\WINDOWS\winamp.ini : hwkolp (35447 bytes)
C:\WINDOWS\winamp.ini : yfwsgq (35447 bytes)
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

loesche mit der killbox:~--> natuerlich ohne das Datum einkopieren ;)

C:\WINDOWS\system32\msjf.dll
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\stub16.ini
C:\WINDOWS\system32\stub27.ini
C:\WINDOWS\system32\stub26.ini
C:\WINDOWS\system32\stub25.ini
C:\WINDOWS\system32\stub15.ini
C:\WINDOWS\system32\stub40.ini
C:\WINDOWS\system32\stub39.ini

28.12.2005 23:21 24.711 C:\WINDOWS\system32\stub38.ini
28.12.2005 23:19 24.442 C:\WINDOWS\system32\stub37.ini
28.12.2005 23:19 24.735 C:\WINDOWS\system32\stub36.ini
28.12.2005 23:18 24.305 C:\WINDOWS\system32\stub35.ini
28.12.2005 23:16 24.912 C:\WINDOWS\system32\stub34.ini
28.12.2005 23:13 24.391 C:\WINDOWS\system32\stub33.ini
28.12.2005 23:12 24.500 C:\WINDOWS\system32\stub32.ini
28.12.2005 23:09 24.410 C:\WINDOWS\system32\stub31.ini
28.12.2005 23:07 24.809 C:\WINDOWS\system32\stub30.ini
28.12.2005 23:01 24.364 C:\WINDOWS\system32\stub29.ini
28.12.2005 22:57 24.101 C:\WINDOWS\system32\stub28.ini
28.12.2005 22:48 23.580 C:\WINDOWS\system32\stub24.ini
28.12.2005 22:46 24.085 C:\WINDOWS\system32\stub23.ini
28.12.2005 22:43 23.060 C:\WINDOWS\system32\stub22.ini
28.12.2005 22:42 23.219 C:\WINDOWS\system32\stub21.ini
28.12.2005 22:39 23.685 C:\WINDOWS\system32\stub20.ini
28.12.2005 22:38 22.835 C:\WINDOWS\system32\stub19.ini
28.12.2005 22:37 22.118 C:\WINDOWS\system32\stub18.ini
28.12.2005 22:36 23.395 C:\WINDOWS\system32\stub17.ini
28.12.2005 12:04 23.847 C:\WINDOWS\system32\stub14.ini
28.12.2005 06:46 23.745 C:\WINDOWS\system32\stub13.ini
28.12.2005 06:45 23.567 C:\WINDOWS\system32\stub12.ini
28.12.2005 06:45 23.501 C:\WINDOWS\system32\stub11.ini
28.12.2005 04:03 23.416 C:\WINDOWS\system32\stub10.ini
28.12.2005 03:36 23.496 C:\WINDOWS\system32\stub9.ini
28.12.2005 03:35 23.318 C:\WINDOWS\system32\stub8.ini
28.12.2005 03:35 23.344 C:\WINDOWS\system32\stub7.ini
28.12.2005 03:24 23.619 C:\WINDOWS\system32\stub6.ini
28.12.2005 03:23 23.500 C:\WINDOWS\system32\stub5.ini
28.12.2005 01:15 23.246 C:\WINDOWS\system32\stub4.ini
28.12.2005 00:43 23.166 C:\WINDOWS\system32\stub3.ini
28.12.2005 00:33 22.711 C:\WINDOWS\system32\stub2.ini
28.12.2005 00:33 22.854 C:\WINDOWS\system32\stub1.ini

26.12.2005 18:14 13.581 C:\WINDOWS\system32\bqzdk.dat
25.12.2005 21:43 1.199 C:\WINDOWS\system32\logs1.ini

23.12.2005 21:10 11.895 C:\WINDOWS\system32\sdkmx32.exe
23.12.2005 20:20 11.895 C:\WINDOWS\system32\mfcrz32.exe
23.12.2005 19:37 35.447 C:\WINDOWS\system32\ieuk.exe
23.12.2005 12:35 16.832 C:\WINDOWS\system32\amcompat.tlb
23.12.2005 12:35 23.392 C:\WINDOWS\system32\nscompat.tlb

23.12.2005 09:50 35.447 C:\WINDOWS\system32\ipbm32.exe
12.12.2005 22:20 13.581 C:\WINDOWS\system32\xwefu.txt
12.12.2005 02:00 133.791 C:\WINDOWS\system32\addbr.dll
10.12.2005 19:59 3.567 C:\WINDOWS\system32\znrrz.txt


29.12.2005 09:34 23.416 C:\WINDOWS\stub10.ini
29.12.2005 09:34 23.496 C:\WINDOWS\stub9.ini
29.12.2005 09:33 23.318 C:\WINDOWS\stub8.ini
29.12.2005 09:25 23.344 C:\WINDOWS\stub7.ini
29.12.2005 09:24 23.619 C:\WINDOWS\stub6.ini
29.12.2005 09:24 23.500 C:\WINDOWS\stub5.ini
29.12.2005 09:23 23.246 C:\WINDOWS\stub4.ini
29.12.2005 09:22 23.166 C:\WINDOWS\stub3.ini
29.12.2005 09:10 22.711 C:\WINDOWS\stub2.ini
29.12.2005 09:09 22.854 C:\WINDOWS\stub1.ini

27.12.2005 06:19 1.199 C:\WINDOWS\logs1.ini
26.12.2005 00:56 197.761 C:\WINDOWS\msdoh.dat
23.12.2005 18:47 35.447 C:\WINDOWS\atlng.exe
23.12.2005 12:35 44.786 C:\WINDOWS\wmsetup.log
23.12.2005 02:35 3.567 C:\WINDOWS\wzrey.dat
20.12.2005 17:08 74.380 C:\WINDOWS\_detmp.1
17.12.2005 17:50 69.632 C:\WINDOWS\_detmp.2
15.12.2005 00:42 1.193 C:\WINDOWS\bobdown.ini
11.12.2005 11:37 197.761 C:\WINDOWS\trsie.log
09.12.2005 23:58 13.581 C:\WINDOWS\hwkol.txt
09.12.2005 06:41 197.761 C:\WINDOWS\sxvga.txt
08.12.2005 01:07 133.791 C:\WINDOWS\ieot32.dll

PC neustarten

deaktiviere die Systemwiederherstellung (dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

deinstalliere:/loesche
C:\Programme\WinHound

Counterspy
http://virus-protect.org/counterspy.html
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2005, 20:56
ingfalk
...neu hier

Beiträge: 9
#15 puhh das war aber ne Menge Arbeit und der verf**** Schei... is immer noch da.

Wofür ist die datei denn C:\Windows\System32\WININET.dll kann ich die nicht einfach löschen? Is die wichtig? Mit dieser Killbox geht das doch sicherlich. Aber weiss nicht ob die wichtig is für windows oder so.

Und wo soll ich denn Scanreport posten?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234